Siber güvenlik firması Silent Push, “altyapı aklama” adı verilen yeni bir siber suçlu taktik tanımladı. Araştırmacılar, bu tekniğin siber suç dünyasında daha yaygın hale geldiğini söylüyor. Silent Push’un tehdit analiz ekibinin hackread.com ile paylaşılan soruşturmasına göre, bu taktik siber suçlular aracılığıyla Amazon Web Services (AWS) ve Microsoft Azure gibi ana bulut sağlayıcılarını kullanıyor.
Bu yöntem, tehdit aktörlerinin bu meşru sağlayıcılardan IP adresleri kiralayarak ve bunları ceza web sitelerine bağlayarak yasadışı faaliyetlerini maskelemelerine olanak tanır. Funnull İçerik Dağıtım Ağı (CDN), kara para aklama, perakende kimlik avı planları ve çeşitli çevrimiçi dolandırıcılıklarla doğrudan bir bağlantı olduğunu ortaya koyarak bu taktiği kapsamlı bir şekilde kullanıyor.
Bilgileriniz için, altyapı aklama, suçluların kötü niyetli faaliyetlerini meşru web trafiğiyle harmanlayan bir siber suç biçimidir, bu da savunucuların meşru kullanıcıları bozmadan erişimi engellemelerini zorlaştırır. Bu, gevşek düzenlemelerde faaliyet gösteren geleneksel “kurşun geçirmez barındırma” hizmetlerinden farklıdır.
Funnull’un operasyonu, büyük bulut sağlayıcılarından binlerce IP adresi kiralamayı ve daha sonra tespitin önünde kalmak için sürekli olarak bisiklet sürmeyi içerir. Bildirildiğine göre Funnull, Amazon’dan 1.200’den fazla ve Microsoft’tan yaklaşık 200 IP kiraladı. Bunların çoğu zaten kaldırıldı, ancak yeni IP’ler sürekli olarak edinildi.
Silent Push, Funnull’un bu IP’leri güvence altına almak için muhtemelen dış gözlemciler için görünmez olan bir süreç olan çalıntı veya hileli hesaplar kullandığını gözlemledi. Funnull ve kara para aklama hizmetleri, perakende kimlik avı ve “domuz kasaplama” dolandırıcılığı arasındaki bağlantı, hepsi bu altyapı aklama yoluyla barındırılan bu siber suç taktiğinin gerçek dünya etkisini vurgulamaktadır.
Funnull’un 110.000’den fazla web sitesini etkileyen popüler JavaScript Kütüphanesi Polyfillio’yu tehlikeye attığı bu yılın başlarında bir tedarik zinciri saldırısı, bu suç ağları tarafından kullanılan sofistike yöntemleri sergiliyor.
Daha fazla problama, birçoğu Çin Triad grupları tarafından düzenlenen kapsamlı siber suç faaliyetlerini kolaylaştıran büyük bir kötü niyetli altyapı kümesini ortaya çıkardı. Bu, UNODC’nin “Siber Etkin Sahtekarlık, Yeraltı Bankacılığı ve Güneydoğu Asya’da teknolojik yeniliğin yakınsamasını” vurgulayan ulusötesi organize suçla ilgili 2024 raporuna uyuyor.
Ayrıca, Funnull aldatmaca/kara para aklama web siteleri ağı, ABD şirketlerinin ve Asya barındırma sağlayıcılarının sahip olduğu Western IP adreslerinin bir kombinasyonunda barındırılmaktadır.
Silent Push’un blog yazısı, “Funnull CDN’nin 200.000’den fazla benzersiz ana bilgisayar adını barındırma olarak tanımlandı, bunların yaklaşık% 95’i Domain üretim algoritmaları (DGAS) yoluyla üretildi” dedi.
Araştırmacılar, çevrimiçi bir kumar portalı olan Bwin’in Funnull tarafından Microsoft altyapısında bulunan düzinelerce “Bwin Imported sitesi” ile istismar edildiğini belirtti. Bwin’in ana şirketi Entain’den bir sözcü, bunların sahte siteler olduğunu doğruladı. Bununla birlikte, yaklaşık bir düzine diğer büyük çevrimiçi kumar markasının ticari markası da on binlerce kabuklu kumar web sitesinde istismar edilmektedir.
Hileli IP kiralamaları ve Funnull gibi kuruluşların bilinen kötü niyetli etkinliklerle bağlantılı olmasına rağmen tekrar tekrar yeni IP’ler kiralayabilmesine ilişkin sessiz itme soruşturması endişeleri artırıyor. Araştırmacılar, sağlayıcıların Funnull tarafından kullanılan belirli CNAME zincirlerini izlemesi ve bu taktikle etkili bir şekilde mücadele etmek için yeni kiralanan IP’leri bu CNAMES ile eşleştirilen aktif olarak izlemeleri gerektiğini önermektedir.
Amazon’un yanıtı
Bir açıklamada Hackread.comAmazon konuyu kabul etti ve kampanyaya dahil olan kötü amaçlı hesapların askıya alındığını doğruladı. Ancak şirket, bu tür faaliyetlerden herhangi bir katılım veya finansal kazancı reddetti, bu da istismarı araştırmaya ve önleme konusundaki taahhüdünü vurguladı.
“Bu rapor çok sayıda yanlış iddiada bulunuyor. Raporun yazarı, gerçekler sunulduğunda bu yanlışlıkları düzeltmeyi reddetti. Etkinliğe bağlı olduğu bilinen tüm AWS hesapları şimdi askıya alınmıştır. Bu etkinlikten mevcut bir risk olmadığını ve müşteri eylemi gerekmediğini doğrulayabiliriz. Herkesin AWS kaynaklarının küfürlü etkinlik için kullanıldığından şüphelenmesi durumunda, Rapor Kötüye Kullanım Formunu kullanarak AWS Güven ve Güvenlik’e bildirmelerini öneririz. Burada. “
AWS sözcüsü