Araştırmacılar yakın zamanda, özellikle siber suç faaliyetleri için özel olarak tasarlanmış gizli bir bağlantı kısaltma hizmetinden yararlanan alan adı korsanlarına yönelik çevrimiçi hizmetler buldu.
‘Prolific Puma’ olarak adlandırılan bu hizmet, alan adlarını oluşturmak için kayıtlı bir alan oluşturma algoritması (RDGA) dağıtarak, kimlik avı düzenlerini, dolandırıcılıkları ve kötü amaçlı yazılımları dağıtırken tespit edilmekten kaçınan gizli bir platform sağlar.
Dört yılı aşkın bir süredir gizlilik içinde faaliyet gösteren bu RGDA hizmeti, son 18 ayda 75.000’e kadar benzersiz alan adı oluşturarak siber güvenlik savunucularını atlatmayı başardı ve genellikle “.us” ile biten URL’ler kullanarak düzenlemelerden kaçmayı başardı.
Üretken Puma’nın Karmaşık Operasyonu
Operasyonunun özü, Infoblox’un “kayıtlı” alan oluşturma algoritması (RGDA) olarak adlandırdığı şeyin kullanılmasında yatmaktadır. Kötü amaçlı yazılım iletişimi için dinamik olarak alan adları oluşturan geleneksel alan oluşturma algoritmalarından (DGA’lar) farklı olarak RGDA, kötü amaçlı etkinliklerin tespit edilmemesini kolaylaştıran özel bir tekniktir.
Infoblox’un tehdit istihbaratı başkanı Dr. Renee Burton, siber suçlulara otomatik güvenlik önlemlerinden kaçmak için ideal olan kompakt, gizli ve algılanmaya dayanıklı URL’ler sağlayan kısaltılmış bağlantıların etkinliğini açıklıyor.
Bu hizmet, RDGA aracılığıyla oluşturulan, tehditactor1.com, tehditactor2.com ve tehditactor.com gibi alan adlarıyla örneklenen bir alan adları ağını kaydeder. Orijinal URL kısaltılmış bağlantılara dönüştürülerek bunları algılama sistemleri tarafından tanınmaz hale getirir. Tehdit aktörleri, kimlik avı planlarını, dolandırıcılıklarını ve kötü amaçlı yazılım saldırılarını yaymak için bu bağlantıları kullanır.
Kayıtlı Etki Alanı Oluşturma Algoritması (RDGA) Nedir?
Operasyonlarının temelinde, onu geleneksel DGA’lardan ayıran önemli bir bileşen olan “kayıtlı” alan oluşturma algoritması (RGDA) yatıyor.
Dr. Renee Burton, Prolific Puma’nın gizli doğasının araştırmacılar için zorluk teşkil ettiğini, çünkü tam bir URL’nin bulunmamasının nihai açılış sayfasını belirlemeyi zorlaştırdığını belirtiyor.
Infoblox çeşitli yasadışı bağlantı kısaltma hizmetlerini tespit etse de, en büyük ve en dinamik olanı olarak öne çıkıyor. Nisan 2022’den bu yana, 35.000 ila 75.000 arasında şaşırtıcı sayıda benzersiz alan adı kaydettirerek operasyonlarının boyutunu ortaya koyuyor.
Bir alan adı korsanının çevrimiçi güvenliğe büyük bir tehdit oluşturması nedeniyle bu gizli bir operasyondur. Kayıtlı alan adı oluşturma algoritmasının yenilikçi kullanımı, gölgede çalışmasına, tespitten kaçmasına ve siber tehditlerin dağıtımını mümkün kılmasına olanak tanır; bu da onu, şüphesiz kurbanları hedeflemek için hizmetlerinden yararlanan alan adı korsanlarının en büyük kolaylaştırıcılarından biri haline getirir.
Medya Yasal Uyarısı: Bu rapor, çeşitli yollarla elde edilen iç ve dış araştırmalara dayanmaktadır. Sağlanan bilgiler yalnızca referans amaçlıdır ve bu bilgilere güvenme konusunda tüm sorumluluk kullanıcılara aittir. Cyber Express bu bilgilerin kullanılmasının doğruluğu veya sonuçları konusunda hiçbir sorumluluk kabul etmez.