Các chuyên gia an ninh mạng đã ghi nhận xu hướng gia tăng các nhóm tấn công mạng khai thác nhà cung cấp Dynamic DNS (DDNS) để lưu trữ hạ tầng độc hại, tạo ra mối đe dọa mạng đáng kể cho các tổ chức doanh nghiệp trên toàn cầu. Những dịch vụ này, còn được gọi là nhà cung cấp tên miền con có thể thuê công khai, ngày càng trở thành mục tiêu hấp dẫn đối với các tác nhân độc hại do khả năng tiếp cận dễ dàng và sự giám sát quy định còn hạn chế.

Tại Sao Nhà Cung Cấp Dynamic DNS Lại Hấp Dẫn Kẻ Tấn Công

Các dịch vụ DDNS về cơ bản hoạt động như “nhà đăng ký tên miền nhỏ” nhưng không phải đối mặt với mức độ giám sát tương tự như các nhà đăng ký tên miền hợp pháp. Không giống như việc đăng ký tên miền truyền thống yêu cầu tuân thủ các quy trình của ICANN và IANA, các nhà cung cấp Dynamic DNS chỉ cần mua một tên miền và thiết lập hạ tầng định tuyến của riêng họ.

Nghiên cứu mới nhất từ Silent Push cho thấy hơn 70.000 tên miền hiện đang thuê tên miền con thông qua các dịch vụ này. Nhiều trong số đó hoạt động với sự giám sát tối thiểu và kiểm soát bảo mật lỏng lẻo, tạo điều kiện thuận lợi cho các hoạt động độc hại.

Sức hấp dẫn đối với các tác nhân độc hại nằm ở một số yếu tố chính. Nhiều nhà cung cấp chấp nhận thanh toán bằng tiền điện tử và quảng cáo đăng ký ẩn danh mà không yêu cầu chi tiết “Know Your Customer” (KYC).

Sự kết hợp giữa ẩn danh và xác minh tối thiểu này tạo ra một môi trường lý tưởng để các tác nhân độc hại thiết lập hạ tầng Command and Control (C2), đồng thời né tránh việc bị phát hiện.

Phân Loại Các Mô Hình Dịch Vụ Dynamic DNS

Hệ sinh thái Dynamic DNS bao gồm nhiều mô hình dịch vụ khác nhau, mỗi loại đều đặt ra những thách thức bảo mật riêng biệt:

• Dịch vụ Kiểm soát Hạn chế: Các nhà cung cấp này giới hạn cấu hình bản ghi DNS A nhưng cho phép một số quyền kiểm soát nội dung. Các dịch vụ như Blogspot thuộc danh mục này, mặc dù tồn tại các phương pháp để vượt qua các hạn chế nội dung mặc định.

• Kiểm soát Chỉ Nội dung: Các nền tảng như pages.dev cho phép người dùng tự do đặt nội dung trong khi vẫn duy trì quyền kiểm soát các bản ghi DNS và địa chỉ IP. Điều này mang lại sự linh hoạt cho người dùng nhưng cũng tiềm ẩn rủi ro nếu bị khai thác cho mục đích độc hại.

• Dịch vụ Kiểm soát Hoàn toàn: Các dịch vụ cao cấp như afraid.org cung cấp khả năng kiểm soát hoàn chỉnh về hosting và nội dung, thường có sẵn thông qua các gói trả phí. Các dịch vụ này gây ra rủi ro cao nhất vì chúng cung cấp cho các tác nhân độc hại sự linh hoạt tối đa cho các hoạt động độc hại, bao gồm cả việc khởi động các tấn công Dynamic DNS quy mô lớn.

Giám Sát và Phát Hiện Hạ Tầng Độc Hại Dynamic DNS

Đội ngũ tình báo mối đe dọa của Silent Push đã phát triển các khả năng giám sát tinh vi để theo dõi hệ sinh thái Dynamic DNS. Phương pháp nghiên cứu của họ kết hợp nhiều nguồn dữ liệu để cung cấp phạm vi phủ sóng toàn diện về các mối đe dọa tiềm ẩn, hỗ trợ việc phát hiện xâm nhập sớm.

Hệ thống theo dõi tích hợp dữ liệu từ Public Suffix List, tập trung vào phần “Private Domains” bao gồm cả các dịch vụ doanh nghiệp và các nhà cung cấp chất lượng thấp hơn.

Nhóm đã dành sự chú ý đặc biệt cho afraid.org, một dịch vụ vận hành hàng chục nghìn tên miền cho thuê tên miền con, với một số tên miền có từ khoảng 25 năm trước.

Độ phức tạp của việc theo dõi các dịch vụ này được minh họa bởi các tên miền “tàng hình” của afraid.org, những tên miền này không được liệt kê công khai và chỉ có thể được xác định thông qua phân tích bản ghi NameServer.

Nền tảng của Silent Push đã xác định hơn 591.000 kết quả thông qua tìm kiếm DNS NameServer chỉ riêng cho afraid.org. Khả năng giám sát chuyên sâu này là rất quan trọng để chống lại các tấn công Dynamic DNS tinh vi.

Các Nhóm Tấn Công Nâng Cao (APT) Khai Thác Dynamic DNS

Các nhóm đe dọa cấp cao đã tận dụng rộng rãi các dịch vụ Dynamic DNS cho các hoạt động độc hại của họ. Điều này chứng minh hiệu quả của việc khai thác DDNS trong việc né tránh các biện pháp an ninh truyền thống.

• APT29 (Cozy Bear): Nhóm này được ghi nhận đã sử dụng độc quyền các tên miền Dynamic DNS cho hoạt động liên lạc C2 QUIETEXIT của họ vào năm 2022.

• Gamaredon: Nhóm này đã được quan sát thấy sử dụng các dịch vụ này trong các chiến dịch nhắm mục tiêu vào các thực thể ở Ukraine.

• Scattered Spider: Nhóm này đã tích hợp các tên miền có thể thuê công khai vào các hoạt động của họ vào tháng 1 năm 2025.

• APT28 (Fancy Bear): Nhóm này đã được đề cập cụ thể trong báo cáo của FBI năm 2024về việc sử dụng rộng rãi các tên miền Dynamic DNS.

• APT33: Đã sử dụng cả tên miền tùy chỉnh và Dynamic DNS trong các chiến dịch của mình.

• DDGroup: Tác nhân đe dọa này đã phụ thuộc rất nhiều vào các dịch vụ Dynamic DNS để liên lạc C2.

• APT Group Gallium: Việc sử dụng dịch vụ này đã được ghi nhận vào năm 2022.

Tiền lệ lịch sử kéo dài từ năm 2014 khi Microsoft dẫn đầu các nỗ lực để giành quyền kiểm soát các tên miền No-IP Dynamic DNS đã được sử dụng rộng rãi trong các cuộc tấn công đang diễn ra. Các trường hợp này nhấn mạnh mức độ nghiêm trọng và sự kéo dài của các tấn công Dynamic DNS.

Hậu Quả Bảo Mật và Thách Thức Khi Chống Lại Tấn Công Dynamic DNS

Những hậu quả bảo mật từ việc lạm dụng Dynamic DNS không chỉ dừng lại ở việc lưu trữ tên miền đơn thuần. Các dịch vụ này có thể vô tình xuất hiện trong danh sách cho phép (allow list) của doanh nghiệp, tạo ra các lỗ hổng bảo mật tiềm ẩn khi nhân viên yêu cầu quyền truy cập vào nội dung bị chặn.

Khi các tác nhân đe dọa kiểm soát các tên miền con trên các dịch vụ không phản hồi khiếu nại lạm dụng, hạ tầng này trở nên rất hấp dẫn cho các hoạt động liên lạc C2. Điều này làm phức tạp thêm các nỗ lực bảo mật và phản ứng sự cố.

Không giống như các tên miền truyền thống, nơi cả nhà đăng ký và nhà cung cấp dịch vụ hosting đều có thể được liên hệ để yêu cầu gỡ bỏ, các dịch vụ Dynamic DNS thường đưa ra các tùy chọn khắc phục hạn chế. Sự bền bỉ của các tên miền con độc hại là một mối lo ngại đáng kể, làm tăng hiệu quả của các tấn công Dynamic DNS.

Ngay cả khi các công ty an ninh mạng xác định và báo cáo hoạt động độc hại, các tên miền con có thể vẫn hoạt động do các nhà cung cấp không phản hồi hoặc quy trình xử lý lạm dụng không đầy đủ.

Chiến Lược Phòng Ngự Hiệu Quả Trước Mối Đe Dọa Dynamic DNS

Silent Push khuyến nghị các tổ chức doanh nghiệp nên triển khai các chiến lược giám sát chủ động và chặn các tên miền có thể thuê công khai. Các bản xuất dữ liệu hàng loạt của họ cung cấp phạm vi phủ sóng toàn diện các tên miền được theo dõi đang thuê tên miền con và cung cấp dịch vụ Dynamic DNS.

Các tổ chức nên thiết lập các chính sách dựa trên rủi ro để xử lý các kết nối đến các tên miền này. Một số doanh nghiệp có thể yêu cầu chặn hoàn toàn tất cả các kết nối trừ khi người dùng thủ công yêu cầu các ngoại lệ cụ thể.

Những doanh nghiệp khác có thể thấy rằng các cơ chế cảnh báo cung cấp khả năng hiển thị đầy đủ trong khi vẫn duy trì sự linh hoạt trong hoạt động.

Nguyên tắc chính cho các nhà phòng thủ là nhận ra rằng các tên miền con riêng lẻ trong các dịch vụ này có thể khác nhau đáng kể về tính hợp pháp. Trong khi một tên miền con có thể phục vụ các mục đích hợp pháp, một tên miền khác trên cùng dịch vụ có thể lưu trữ hạ tầng độc hại. Sự đa dạng này tạo ra những thách thức phòng thủ độc đáo, đòi hỏi các cách tiếp cận bảo mật mạng sắc thái hơn.

Tương Lai Của Bối Cảnh Đe Dọa Dynamic DNS

Bối cảnh mối đe dọa Dynamic DNS tiếp tục phát triển khi các dịch vụ này ngày càng trở nên phổ biến đối với cả người dùng hợp pháp và các tác nhân đe dọa. Nhiều nhà cung cấp hoạt động như các công ty bình phong hoặc các thực thể có lịch sử ghi nhận việc bỏ qua các báo cáo lạm dụng, làm cho việc chống lại tấn công Dynamic DNS trở nên khó khăn hơn.

Lĩnh vực kinh doanh hỗ trợ các chương trình cho thuê tên miền con cho thấy nhiều nỗ lực độc hại hơn là lành tính, với một số giải pháp doanh nghiệp bị khai thác nặng nề bởi các tác nhân đe dọa nghiêm trọng.

Các nỗ lực giám sát liên tục của Silent Push trong suốt năm 2025 sẽ theo dõi các diễn biến mới trong không gian này, bao gồm việc xác định các kho lưu trữ bổ sung các tên miền có thể thuê công khai và các nhà cung cấp Dynamic DNS mới nổi. Cách tiếp cận hợp tác của cộng đồng an ninh mạng trong việc xác định và theo dõi các dịch vụ này vẫn là yếu tố cần thiết để duy trì các tư thế phòng thủ hiệu quả chống lại vectơ mối đe dọa ngày càng tăng này.