Ein finanziell motivierter Bedrohungsakteur hat seit mindestens Februar 2023 Tausende von Domains für Anlagebetrugspläne gekapert. Diese gekaperten Domains sind in kurzlebige Facebook-Anzeigen eingebettet, die auf Nutzer in mehr als 30 Sprachen auf mehreren Kontinenten abzielen.

Warum ist das etwas Besonderes? Die gekaperten Domains werden mit dem Angriffsvektor „Sitting Ducks“ übernommen und in jedem Schritt der Kampagnen der Akteure eingesetzt.

Ein chinesisches Verbrechersyndikat hat eine Technologiesuite entwickelt, die es nun als eine vollständige Cybercrime-Lieferkette betreibt, komplett mit Software, DNS-Konfigurationen, Website-Hosting, Zahlungsmechanismen, mobilen Apps und mehr.

Warum ist das etwas Besonderes? Diese Recherche bringt zahlreiche Geschichten von Journalisten und Menschenrechtsaktivisten mit einem einzigen Netzwerk für organisiertes Verbrechen in Verbindung.

Ein DNS-Akteur, der mithilfe eines fortschrittlichen Algorithmus Hunderttausende von Domains für den Einsatz in Werbekampagnen erstellt.

Warum ist dies besonders? Revolver Rabbits RDGA ist umfangreich, vielfältig und veranschaulicht die Herausforderung, die Natur von Netzwerken zu entdecken und zu bestimmen, die darauf ausgelegt sind, die Operationen von Akteuren zu verschleiern.

Ein gerissener Akteur, der weltweit offene Resolver mit MX-Einträgen missbraucht und Chinas Great Firewall auf mysteriöse Weise zum Handeln bringt.

Warum ist das etwas Besonderes? Erste Dokumentation geänderter DNS-MX-Einträge durch die Great Firewall.

Ein hartnäckiger Investmentbetrugsakteur, der DNS-CNAME-Einträge als Traffic Distribution System (TDS) nutzt, um den Zugriff auf ihre bösartigen Inhalte zu kontrollieren, die über Facebook-Werbung verbreitet werden.

Warum ist das etwas Besonderes? Erste Beschreibung der Verwendung von DNS CNAME-Einträgen durch Bedrohungsakteure zur Kontrolle und Steuerung von Inhalten für Benutzer.

Ein bösartiger Dienst zur Verkürzung von Links, mit dem Kriminelle Verbraucher auf der ganzen Welt ins Visier nehmen. Dieser Akteur hat die Datenschutzkontrollen für das usTLD erfolgreich umgangen, bevor er von Infoblox entlarvt wurde.

Warum ist das etwas Besonderes? Erste Beschreibung eines bösartigen Link-Shorteners in der Branche.

Ein Phishing-Akteur, der Anmeldeinformationen von Verbrauchern in Europa, den Vereinigten Staaten und Australien stiehlt, indem er ähnliche Domains wie Finanzinstitute und Steuerbehörden verwendet. Früher als Open Tangle bekannt.

Warum ist das etwas Besonderes? Das ist die erste Meldung über einen dedizierten Lookalike-Domain-Akteur.

Ein nationalstaatliches DNS C2-Malware-Toolkit. Es wurde bestätigt, dass es sich um eine fortgeschrittene Variante von Pupy RAT handelt. Russische Sicherheitsanbieter behaupteten später, dass Decoy Dog verwendet wurde, um die kritische russische Infrastruktur zu stören.

Warum ist das etwas Besonderes? Erste Entdeckung und Charakterisierung einer C2-Malware ausschließlich über DNS.

Das am längsten laufende Traffic Distribution System (TDS) in der Branche mit der größten Anzahl von kriminellen Partnern, die Traffic für andere vermitteln und gleichzeitig eigene bösartige Kampagnen durchführen.

Warum ist das etwas Besonderes? Erste Identifizierung eines groß angelegten TDS durch DNS und die Verwendung eines Dictionary-Domain-Generation-Algorithmus (DDGA).