Palo Alto Networks:七週內逾86,600 COVID-19相關惡意域名註冊

  •  
  •  
  •  

自2020年3月9日到2020年4月26日七週期間,Palo Alto Networks威脅情報團隊Unit 42分析了120萬個包含新冠肺炎大流行相關字眼的新註冊域名。當中逾86,600個屬「危險」或「惡意」域名,遍佈全球。

美國的惡意新域名數量最多(29,007),其次是意大利(2,877)、德國(2,564)和俄羅斯(2,456)。香港和中國內地合共有931個相關惡意新域名。

Unit 42研究人員亦發現,超過56,200個新註冊域名設置於四個雲端服務,包括Amazon Web Services(70.1%)、Google Cloud Platform(24.6%)、Microsoft Azure(5.3%)及阿里雲(<0.1%)。

一些惡意域名有多個IP地址,而某些IP地址與多個域名有關聯。由於使用了內容傳遞網路(content delivery network),這種多對多對應通常在雲端環境發生,並會使基於IP的防火牆失效。

是次研究的部份重要發現:

  • 每天平均有1,767個與新冠肺炎相關的域名建立。
  • 86,600多個域名中,2,829個設置於公有雲的域名屬危險或惡意
  • 79.2% 設於AWS
  •  14.6% 設於GCP
  • 5.9% 設於Azure
  •   0.3% 設於阿里雲
  •  不法之徒一直掩飾惡意活動,例如進行網絡釣魚及在雲端發放惡意軟件。
  • 更高的價格和更嚴格的篩選/監控程序有助降低攻擊者在公共雲設置惡意域名的意欲。

  •  
  •  
  •