Когато доверената инфраструктура се превърне в прикритие. Нова техника поставя под въпрос традиционното филтриране на трафик
Обзор
Изследователи по киберсигурност предупреждават за нова техника, която позволява злонамерен трафик да се скрива зад доверена интернет инфраструктура.
Техниката, известна като Underminr, използва начина, по който работят съвременните мрежи за доставка на съдържание (CDN). Вместо да използват софтуерна уязвимост, нападателите се възползват от архитектурата на споделените CDN среди, за да прикриват злонамерени връзки като легитимен трафик.
Тъй като комуникацията изглежда свързана с утвърдени домейни и доверени доставчици, част от традиционните защитни механизми могат да не отчетат риска.
За случая няма издаден CVE идентификатор, тъй като не става дума за софтуерен дефект, а за злоупотреба с инфраструктурен модел.
Как работи техниката
CDN платформите обслужват множество организации едновременно чрез общи мрежови възли.
Underminr използва именно тази споделена среда.
Нападателите регистрират свои домейни при същите доставчици, използвани от легитимни организации, и манипулират маршрутизирането чрез:
- Server Name Indication (SNI) при TLS връзката
- HTTP Host заглавията
- споделени CDN възли
- HTTP/2 многопоточност, която смесва легитимен и злонамерен трафик
В резултат част от системите, които разчитат основно на:
- репутация на домейни
- TLS показатели
- стандартно гранично филтриране
могат да възприемат връзката като доверена.
Тази техника наподобява domain fronting, но използва особености в начина, по който CDN инфраструктурата обработва и насочва трафика.
Защо това има значение
Според публичните анализи десетки милиони домейни могат потенциално да попаднат в подобна архитектурна среда.
Сред споменаваните доставчици са:
- Cloudflare
- AWS CloudFront
- Akamai
- Fastly
Наблюдаваните сценарии включват:
- разпространение на злонамерен код
- фишинг кампании
- устойчива управляваща инфраструктура (C2)
- скрито извличане на данни
Техниката е особено трудна за ограничаване, защото блокирането на цели CDN платформи често не е практично.
За много организации този трафик е част от ежедневната работа.
DIAMATIX перспектива
Същественото при Underminr не е дали представлява класическа уязвимост.
По-важният въпрос е оперативният риск.
Защитата, която разчита основно на:
- списъци с доверени домейни
- статични правила
- блокиране по репутация
все по-често среща слаби места.
Нападателите се насочват към злоупотреба с доверена инфраструктура, а не само към пробив в нея. Облачните услуги и споделените интернет платформи все по-често се използват като прикритие.
CISO анализ
Този случай показва по-широк проблем в съвременните операции по сигурност.
Трафикът вече не може да се оценява единствено според репутацията на крайната точка.
Организациите трябва да имат наблюдение върху:
- съответствие между SNI и Host заглавията
- необичайни CDN маршрути
- нетипично изходящо поведение
- анализ на криптиран трафик
- поведенчески модели във времето
- наблюдение на приложния слой
Особено важно става разбирането на архитектурните механизми при използваните облачни услуги.
Какво означава това за вашата среда
- Тази техника използва доверена споделена инфраструктура, а не класически злонамерени домейни.
- Откриването зависи от анализ на поведението и връзките между заявките, а не само от репутация на домейни.
- Реакцията изисква наблюдение върху облачния трафик и по-дълбока видимост върху комуникациите.
Може ли вашата среда да различи доверен облачен трафик от атакуваща инфраструктура, скрита зад него?
Виж как подобни комуникации се анализират и наблюдават в реална оперативна среда.
Trusted · Innovative · Vigilant
Източници
- Rescana – технически анализ на Underminr
- SecurityWeek – анализ и публично отразяване
- ADAMnetworks research, цитирано в публични доклади
- Публични анализи за CDN маршрутизиране и сигурност, май 2026 г.
Статията е базирана на публично достъпна техническа и threat intelligence информация към май 2026 г.
Получавайте актуални новини и експертни анализи за киберсигурност
