はじめに:新たなDNSマルウェア「Detour Dog」の脅威
2023年8月から追跡されているステルス性の高いウェブサイトマルウェアキャンペーン「Detour Dog」が、その手口を巧妙に進化させています。当初は被害者をテクニカルサポート詐欺に誘導していましたが、現在ではDNSベースのコマンド&コントロール(C2)配信システムへと変貌し、DNS TXTレコードを悪用して情報窃取マルウェア「Strela Stealer」を拡散していることが明らかになりました。
Detour Dogの進化:詐欺から情報窃取へ
Detour Dogは、世界中の数万に及ぶ侵害されたウェブサイトを利用し、訪問者には見えないサーバーサイドのDNSリクエストを生成します。これにより、条件付きリダイレクトやリモートコード実行を可能にしています。
- 初期段階(2023年8月以降): 侵害されたサイトを「Los Pollos」や「Help TDS」といった詐欺ランディングページに誘導していました。
- 2024年11月下旬: リダイレクト先が「Los Pollos」から「Help TDS」および「Monetizer TDS」のアフィリエイトネットワークに移行しましたが、目的は不正なトラフィック収益化のままでした。
- 2025年春以降: 新たな機能として、ネームサーバーが特殊な形式のDNS TXTクエリに応答し、Base64エンコードされた「down」コマンドを返すようになりました。これにより、侵害されたサイトはリモートC2サーバーからPHPスクリプトをフェッチして実行するよう指示されます。これは、Detour Dogが初めてエンドユーザーに直接マルウェアを配信した事例となります。
- 2025年6月: 研究者たちは、Detour Dogのインフラが「StarFish」バックドアをホストしていることを確認しました。このバックドアは「Strela Stealer」ペイロードをインストールします。分析の結果、確認されたStarFishステージングホストの69%がDetour Dogの制御下にあることが判明しました。
DNS TXTレコードを悪用したC2通信
Detour Dogは、DNS TXTレコードを隠れたC2チャネルとして利用しています。侵害されたサイトは、以下の形式でDNS TXTクエリを生成します。
<infected-host>.<visitor-ip>.<rand>.<type>.c2_domain
ここで<type>が「nwuuscript」や「nauufile」といったパターンに一致すると、権威ネームサーバーは「down」というプレフィックスとC2 URLを含むTXTレコードを返します。PHPスクリプトの出力は、サーバーサイドのcurlリクエストを介して被害者に中継され、クライアントサイドの検出を回避します。
攻撃のメカニズムと影響範囲
2025年8月6日から8日までのパッシブDNSログでは、400万件以上のクエリが記録されており、そのほとんどは無害な「何もしない」応答でしたが、時折リモート実行コマンドが確認され、巧妙な配信モデルが示されました。
- Shadowserver Foundationは2025年8月に主要なC2ドメイン
webdmonitor[.]ioをシンクホールしましたが、Detour Dogは数時間以内にaeroarrows[.]ioを立ち上げました。 - シンクホールデータは、48時間で30,000の感染ホストと584のTLDから3,900万件以上のTXTクエリを捕捉しました。
- ボットトラフィックが支配的でしたが、ユニークIPは89カ国に及び、そのうち37%が米国からの訪問者IPでした。
- 興味深いことに、エンコードされたIPの一部には米国防総省のサブネットが含まれており、これらのクエリを生成している主体については謎が残っています。
歴史的背景とアフィリエイトネットワークとの関連
Detour Dogの起源は2020年2月にまで遡り、当初は「bt1k60t」のようなIDで識別される「Los Pollos」アフィリエイトにトラフィックを転送していました。その後、「Help TDS」アフィリエイトIDも統合されました。2024年11月に記録された詳細なリダイレクトチェーンは、「Help TDS」から「Monetizer TDS」への移行を示しており、一貫した追跡パラメータ(cid:11005)が使用されていました。これらの複合的なタイムラインは、5年半にわたる継続的なアフィリエイト主導のフローを明らかにしています。
このDNS TXT C2モデルは、斬新で回復力のあるマルウェア配信アーキテクチャを構築しており、アフィリエイトマーケティングのトラフィックフローとDNSベースのリモート実行を組み合わせることで、真のC2インフラを隠蔽し、攻撃チェーンを曖昧にし、防御者を誤解させます。
対策と今後の展望
Detour Dogがそのシステムを洗練させ続けている中、組織や脅威ハンターは、このような隠れた脅威を検出および軽減するために、DNS TXTレコードの監視とシンクホール戦略を組み込む必要があります。
元記事: https://gbhackers.com/detour-dog-dns-malware-txt-records-strela-stealer/