近日，一個名為“SubdoMailing”的大規模廣告欺詐活動正在使用8000多個合法互聯網域名和1.3萬個子域名大量發送垃圾郵件，每天發送量高達500萬封電子郵件，用于詐騙和惡意廣告盈利。

域名遭到劫持的企業中不乏知名品牌，例如MSN、VMware、McAfee、經濟學人、康奈爾大學、哥倫比亞廣播公司、NYC.gov、普華永道、培生、聯合國兒童基金會、美國公民自由聯盟、賽門鐵克、Java.net、Marvel和易趣等。

從這些知名品牌的域名和子域名發送的惡意電子郵件可以繞過垃圾郵件過濾器。此外，不法分子還利用SPF和DKIM電子郵件策略來欺騙安全電子郵件網關，將這些電子郵件識別為合法郵件。

通過檢測電子郵件元數據中的異常模式，Guardio Labs的研究人員Nati Tal和Oleg Zaytsev最終發現了這個大規模的子域劫持操作，并報告稱該活動自2022年以來一直在進行。

對MSN域名錯誤授權垃圾郵件的案例研究顯示，攻擊者為使電子郵件看上去合法并逃檢測和過濾，使用了多種攻擊方法：包括濫用SPF（發件人策略框架）檢查、DKIM（域名密鑰識別郵件）和DMARC（域名基于消息認證、報告和一致性）協議。

SubdoMailing劫持域名發送垃圾郵件的組合策略

對信譽良好的企業的域名和子域名，SubdoMailing活動主要通過CNAME攻擊和SPF記錄利用這兩種方法來實施域名劫持。

在CNAME攻擊中，攻擊者會掃描知名品牌的子域名，其中CNAME記錄指向不再注冊的外部域名。然后，他們通過NameCheap服務自行注冊這些域名。

利用CNAME攻擊劫持域名

在第二種方法——利用SPF記錄的域名劫持攻擊中，SPF記錄的include選項用于從外部域名導入允許的電子郵件發件人，攻擊者首先查看目標域名SPF記錄中“include:”選項所指向的外部域名中是否存在注冊過期的域名。

然后攻擊者會注冊SPF記錄中失效的外部域名，更改其SPF記錄以授權自己的惡意電子郵件服務器（使用被劫持的域名作為郵件地址）。這使得攻擊者的電子郵件看起來合法地來自信譽良好的域名。

利用SPF記錄劫持域名

Guardio Labs將此次大規模域名劫持活動歸咎于一個代號“ResurrecAds”的威脅行為者，該行為者會系統性地掃描網絡中可能被劫持的域名，并有針對性的購買域名。

威脅行為者不斷更新這個由被劫持域名、SMTP服務器和IP地址組成的龐大網絡，以維持垃圾郵件活動的規模和復雜性。Guardio Labs表示，SubdoMailing使用了近2.2萬個獨立IP，其中1000個似乎來自家庭網絡。

SubdoMailing的運營規模與分布

目前，SubdoMailing大規模垃圾郵件活動通過全球分布的SMTP服務器進行運作，這些服務器通過由8000個域名和1.3萬個子域名組成的龐大網絡每日發送超過500萬封欺詐電子郵件。

為了方便企業自查域名是否被劫持，Guardio Labs開發了一個SubdoMailing檢查網站（https://guard.io/subdomailing）。