SubdoMailing大规模广告欺诈活动曝光：8000多个合法域名被劫持发送垃圾邮件

近日，网络安全领域曝出一起大规模的广告欺诈活动，名为“SubdoMailing”，该活动利用超过8000个合法互联网域名和1.3万个子域名，每天发送高达500万封垃圾邮件，进行诈骗和恶意广告盈利。此次事件中，多个知名品牌如MSN、VMware、McAfee、经济学人、康奈尔大学、哥伦比亚广播公司、NYC.gov、普华永道、培生、联合国儿童基金会、美国公民自由联盟、赛门铁克、Java.net、Marvel和易趣等的域名和子域名被劫持。

SubdoMailing活动的垃圾邮件发送规模之大、范围之广，引起了网络安全专家的高度关注。Guardio Labs的研究人员Nati Tal和Oleg Zaytsev通过深入调查，发现这些邮件能够绕过常规垃圾邮件过滤器，甚至利用SPF（发件人策略框架）和DKIM（域名密钥识别邮件）电子邮件策略来欺骗安全电子邮件网关，使其看起来像是合法邮件。

研究人员进一步揭示了SubdoMailing活动劫持域名的两种主要策略：CNAME攻击和利用SPF记录。在CNAME攻击中，攻击者会扫描目标品牌的子域名，寻找那些CNAME记录指向不再注册的外部域名的机会，然后自行注册这些域名。而在利用SPF记录的攻击中，攻击者会查看目标域名的SPF记录，寻找“include:”选项所指向的外部域名中注册过期的域名，然后注册这些域名并修改其SPF记录，从而授权自己的恶意电子邮件服务器。

Guardio Labs将此次大规模域名劫持活动归咎于一个名为“ResurrecAds”的威胁行为者。该行为者系统性地扫描网络中可能被劫持的域名，并有针对性地购买这些域名。通过不断更新由被劫持域名、SMTP服务器和IP地址组成的网络，ResurrecAds维持着垃圾邮件活动的规模和复杂性。据Guardio Labs统计，SubdoMailing使用了近2.2万个独立IP，其中1000个似乎来自家庭网络。

为了帮助企业自查域名是否被劫持，Guardio Labs开发了一个SubdoMailing检查网站（https://guard.io/subdomailing）。通过这个网站，企业可以输入自己的域名，检查是否被SubdoMailing活动利用。这一工具对于及时发现和处理域名劫持问题具有重要意义。

此次事件再次提醒我们，网络安全问题不容忽视。企业和个人都需要加强网络安全意识，采取有效措施防范域名劫持等网络攻击行为。同时，相关部门也应加大打击网络犯罪的力度，维护网络安全和公共利益。