Source: Infoblox (blog Threat Intelligence). Contexte: Infoblox décrit une série d’attaques de phishing adversary‑in‑the‑middle (AITM) avec Evilginx visant des portails SSO d’universités américaines depuis avril 2025, et explique comment l’analyse DNS a permis de cartographier l’infrastructure et de suivre les campagnes.
Les campagnes ont été diffusées par email avec des liens TinyURL redirigeant vers des URL de phishing générées par des « phishlets » Evilginx. Chaque URL utilisait un sous‑domaine imitant le SSO ciblé et un chemin à 8 lettres aléatoires, avec une expiration en 24 h. Evilginx a proxifié en temps réel les flux d’authentification, rendant le trafic légitime en apparence et contournant la MFA. 🎣
Malgré des URL éphémères et l’usage de Cloudflare pour masquer l’hébergement, Infoblox a mis en évidence des motifs DNS récurrents (labels de sous‑domaines imitant les services légitimes, ex. « shibboleth ») et a relié au moins 18 universités ciblées. Les plus touchées: UC Santa Cruz, UC Santa Barbara, University of San Diego, Virginia Commonwealth University, University of Michigan. L’acteur a réutilisé des domaines lors d’un passage d’infrastructures dédiées (GoDaddy, NameCheap) vers Cloudflare, permettant de remonter une liste de 67 domaines; le premier observé: catering-amato[.]com. Première attaque connue: 12 avril 2025 (University of San Diego); montée en puissance mi‑2025; nouveau ciblage: UMBC le 16 novembre 2025.
Infoblox souligne des techniques d’évasion d’Evilginx et variantes récentes (ex. Evilginx Pro): certificats TLS wildcard par défaut, filtrage bots par JA4, pages leurres, meilleure intégration avec des fournisseurs DNS (Cloudflare, DigitalOcean), prise en charge multi‑domaine des phishlets et obfuscation JavaScript. L’analyse DNS passive et l’empreinte des serveurs web ont servi d’assise à un suivi continu, complété par le partage d’information avec un client 🎯.
IoCs (extraits du billet):
- IPs: 132[.]148[.]73[.]92; 132[.]148[.]74[.]178; 160[.]153[.]176[.]197; 160[.]153[.]178[.]199; 162[.]0[.]214[.]254; 162[.]0[.]228[.]151; 192[.]169[.]177[.]165; 199[.]192[.]23[.]40; 203[.]161[.]60[.]59; 208[.]109[.]244[.]86; 208[.]109[.]39[.]196; 64[.]202[.]186[.]223; 66[.]29[.]133[.]135; 72[.]167[.]224[.]193; 72[.]167[.]52[.]130
- Domaines utilisés par le proxy Evilginx (sélection) : acmsquared[.]com; ads2ads[.]com; aghomesandproperties[.]com; allwebdirectories[.]com; amj-international[.]com; apartamentosmalaga[.]com; armingaud[.]com; bazmepaigham[.]com; bedrijvenregister[.]com; bestshayari[.]com; brillianceboundielts[.]com; brownak[.]com; buildonhope[.]com; cappadociavisittours[.]com; catering-amato[.]com; cccsok[.]com; citywideprayer[.]com; controlunlimited[.]com; coralridgehour[.]com; dartsinireland[.]com; data-logistics[.]com; dhoughton[.]com; dogcuty[.]com; e-briefe[.]com; eggcoo[.]com; eheringe-trauringe[.]com; ehsantrust[.]com; esdetodo[.]com; fluffybascha[.]com; forty-something[.]com; freaksandfriends[.]com; geegletee[.]com; georgiayr[.]com; goraba[.]com; hafikoman[.]com; heisseliebe[.]com; hurenkontakte[.]com; ideallivingsolutions[.]com; igreensoft[.]com; ilchirone[.]com; impexinc[.]com; inkdchronicles[.]com; intellipex[.]com; intercuba[.]com; ispamembers[.]com; jimmylange[.]com; joshuasdodds[.]com; kbdav[.]com; l2storm[.]com; littlenuggetsco[.]com; lost-signal[.]com; lpdeco[.]com; monnalissaboutique[.]com; mpoterbaru2024[.]com; mykidsfashion[.]com; northstarcouncil[.]com; qrcodespoweredbygs1[.]com; schnaitsee[.]com; sercanaydin[.]com; srpskazemlja[.]com; thelovecity[.]com; thermalresistivity[.]com; transusasia[.]com; tubeunderwater[.]com; weddingsarahetemmanuel[.]com; winbet299mas[.]com; yoopuipui[.]com
TTPs observées (selon le billet):
- Phishing AITM/MITM via Evilginx pour voler identifiants et cookies de session et contourner la MFA
- Campagnes par emails personnalisés + TinyURL; sous‑domaines usurpant les portails SSO; URI aléatoire à 8 lettres; URL valides 24 h
- Dissimulations: reverse‑proxy, Cloudflare en frontal, TLS wildcard, JA4 pour filtrage bot, pages leurres, multi‑domaine phishlets, obfuscation JS
- Détection/dévoilement par empreinte serveur et analyse DNS passive; corrélation d’infra antérieures (GoDaddy, NameCheap) et réutilisation de domaines
Il s’agit d’une analyse de menace documentant une campagne Evilginx contre des SSO universitaires, son infrastructure, ses IoAs et ses TTPs, afin de faciliter le suivi et le blocage.
🧠 TTPs et IOCs détectés
TTP
[‘Phishing AITM/MITM via Evilginx pour voler identifiants et cookies de session et contourner la MFA’, ‘Campagnes par emails personnalisés + TinyURL’, ‘Sous-domaines usurpant les portails SSO’, ‘URI aléatoire à 8 lettres’, ‘URL valides 24 h’, ‘Dissimulations: reverse-proxy, Cloudflare en frontal’, ‘TLS wildcard’, ‘JA4 pour filtrage bot’, ‘Pages leurres’, ‘Multi-domaine phishlets’, ‘Obfuscation JS’, ‘Détection/dévoilement par empreinte serveur et analyse DNS passive’, “Corrélation d’infra antérieures (GoDaddy, NameCheap) et réutilisation de domaines”]
IOC
{‘ips’: [‘132.148.73.92’, ‘132.148.74.178’, ‘160.153.176.197’, ‘160.153.178.199’, ‘162.0.214.254’, ‘162.0.228.151’, ‘192.169.177.165’, ‘199.192.23.40’, ‘203.161.60.59’, ‘208.109.244.86’, ‘208.109.39.196’, ‘64.202.186.223’, ‘66.29.133.135’, ‘72.167.224.193’, ‘72.167.52.130’], ‘domains’: [‘acmsquared.com’, ‘ads2ads.com’, ‘aghomesandproperties.com’, ‘allwebdirectories.com’, ‘amj-international.com’, ‘apartamentosmalaga.com’, ‘armingaud.com’, ‘bazmepaigham.com’, ‘bedrijvenregister.com’, ‘bestshayari.com’, ‘brillianceboundielts.com’, ‘brownak.com’, ‘buildonhope.com’, ‘cappadociavisittours.com’, ‘catering-amato.com’, ‘cccsok.com’, ‘citywideprayer.com’, ‘controlunlimited.com’, ‘coralridgehour.com’, ‘dartsinireland.com’, ‘data-logistics.com’, ‘dhoughton.com’, ‘dogcuty.com’, ’e-briefe.com’, ’eggcoo.com’, ’eheringe-trauringe.com’, ’ehsantrust.com’, ’esdetodo.com’, ‘fluffybascha.com’, ‘forty-something.com’, ‘freaksandfriends.com’, ‘geegletee.com’, ‘georgiayr.com’, ‘goraba.com’, ‘hafikoman.com’, ‘heisseliebe.com’, ‘hurenkontakte.com’, ‘ideallivingsolutions.com’, ‘igreensoft.com’, ‘ilchirone.com’, ‘impexinc.com’, ‘inkdchronicles.com’, ‘intellipex.com’, ‘intercuba.com’, ‘ispamembers.com’, ‘jimmylange.com’, ‘joshuasdodds.com’, ‘kbdav.com’, ’l2storm.com’, ’littlenuggetsco.com’, ’lost-signal.com’, ’lpdeco.com’, ‘monnalissaboutique.com’, ‘mpoterbaru2024.com’, ‘mykidsfashion.com’, ’northstarcouncil.com’, ‘qrcodespoweredbygs1.com’, ‘schnaitsee.com’, ‘sercanaydin.com’, ‘srpskazemlja.com’, ’thelovecity.com’, ’thermalresistivity.com’, ’transusasia.com’, ’tubeunderwater.com’, ‘weddingsarahetemmanuel.com’, ‘winbet299mas.com’, ‘yoopuipui.com’]}
🔗 Source originale : https://blogs.infoblox.com/threat-intelligence/dns-uncovers-infrastructure-used-in-sso-attacks/