Source: https://thehackernews.com/2025/10/detour-dog-caught-running-dns-powered.html
🛡 概要
最近、Detour Dogという脅威アクターが、情報盗取ツールであるStrela Stealerを配布するキャンペーンを運営していることが明らかになりました。この脅威アクターは、感染したドメインを利用して、悪意のあるJavaScriptを埋め込んだWordPressサイトへの攻撃を行っており、DNS TXTレコードを通信チャネルとして利用したトラフィック分配システムを構築しています。Infobloxの調査によれば、Detour Dogは2023年8月から追跡されており、そのインフラはStrela Stealerのためのバックドア、StarFishをホストしています。
🔍 技術詳細
Detour Dogによる攻撃は、主に悪意のあるSVGファイルを通じてStrela Stealerを配布する形で行われています。IBM X-Forceの報告によると、StarFishはリモートアクセスを可能にするためのシンプルなリバースシェルです。また、CVEやCVSSに関する情報は確認されていないため、具体的な数値は記載しませんが、攻撃の背後には69%以上のStarFishステージングホストがDetour Dogの管理下にあることが分かっています。さらに、REM Proxyと呼ばれるMikroTikボットネットも攻撃チェーンの一部として機能し、スパムメールを通じてStrela Stealerを配布しています。
⚠ 影響
Detour Dogの攻撃手法により、感染したWebサイトは通常90%の時間正常に機能し、悪意のある行動を隠すことが可能です。しかし、約9%のケースではサイト訪問者が詐欺サイトにリダイレクトされ、1%のケースではリモートファイル実行コマンドが発信される事例もあります。このように、リダイレクトが制限されていることで、検出を回避しやすくなっています。また、悪意のあるコードが埋め込まれたWebサイトは、長期間にわたり感染を持続させることができるため、企業や個人にとって深刻なリスクをもたらします。
🛠 対策
Detour Dogのような脅威から身を守るためには、まずはWebサイトのセキュリティを強化することが重要です。具体的には、WordPressサイトのプラグインやテーマを常に最新の状態に保ち、脆弱性を悪用されないようにすることが求められます。また、DNSサーバーの設定を見直し、不審なDNSリクエストを監視することも有効です。さらに、メールフィルタリングを強化し、スパムメールを迅速に検出・排除する仕組みを構築することが必要です。最後に、定期的なセキュリティ診断と従業員へのセキュリティ意識向上教育を実施することで、リスクを軽減することができるでしょう。
