Tehdit araştırmacıları, vektör olarak Google Arama Ağı reklamlarını kullanan, grafik tasarım profesyonellerini hedef alan bir dizi kötü amaçlı reklam kampanyası tespit etti.
En az 13 Kasım 2024’ten beri aktif olan bu kampanya, iki özel IP adresinden yararlanıyor: 185.11.61[.]243 ve 185.147.124[.]110, kötü amaçlı etki alanlarını barındırmak için.
İlk IP adresi 185.11.61 ile başlayarak[.]243, bu yazının yazıldığı sırada 109 benzersiz alan adı ona eşlenmişti ve görünüşe göre hepsi bu grafik tasarım/CAD kötü amaçlı reklam kampanyası içindi.
Silent Push, araştırma ortaklarıyla işbirliği içinde geçen ay en az on farklı kampanyayı takip etti. Bu kötü amaçlı Google Ads kampanyaları, şüphelenmeyen kullanıcıları zararlı indirmelere yönlendiren alanları kullanarak kurumsal ortamlar ve bireysel güvenlik açısından önemli bir risk oluşturur.
2024 MITRE ATT&CK Evaluation Results Released for SMEs & MSPs -> Download Free Guide
Kampanyaların Paketinin Açılması
Başlangıç alanı, frecadsolutions[.]com, 185.11.61 IP adresinde barındırılan alanıyla kötü amaçlı reklamcılık çalışmalarını başlattı[.]Kasım başından bu yana 243.
Kampanya, alan adlarındaki frecadsolutions gibi ince değişikliklerle hızla genişledi[.]cc ve freecad çözümleri gibi benzer görünen birçok alana yayılmış[.]net ve rhino3dsolutions[.]io.
Silent Push Research’e göre “14 Kasım 2024’te frecadsolutions kullanılarak bir kötü amaçlı reklam kampanyası başlatıldı”[.]cc (” ince TLD farkına dikkat edin)cc” vs “iletişim”), 185.11.61 tarihinde de barındırılan[.]6 Kasım 2024’ten bu yana 243. Bu, normalde meşru bir dosya barındırma sitesi olan Bitbucket’in kötü amaçlı indirmesi için kullanıldı.”
9 Aralık 2024’te onshape3d ile kötü amaçlı reklam kampanyası başlatıldı[.]185.147.124 tarihinde barındırılan org[.]1 Aralık 2024’ten günümüze 110.
Bu alanlar, tanımlanan iki IP adresi arasında kaymıştır; bu da tek bir tehdit aktörünün koordineli bir çaba gösterdiğini göstermektedir. Etki alanları, kötü amaçlı dosyaları barındırmak için genellikle Bitbucket gibi meşru platformları kullanıyor ve güvenilir adlardan yararlanarak tehdidi daha da artırıyor.
Devam eden bu tehditlere rağmen, Google gibi büyük oyuncuların tepkisinde önemli bir gözetim var gibi görünüyor.
Barındırma IP adreslerini benzer alanlara kadar takip etmek gibi basit araştırma teknikleri, kıdemsiz tehdit analistlerinin bile yönetebileceği bir görev gibi görünüyor. Bu eylem eksikliği, kötü amaçlı reklamcılıkla hızlı ve etkili bir şekilde mücadele etmenin zorluğunu vurguluyor.
Silent Push, kötü amaçlı reklam alanlarına ve IP’lere odaklanarak Gelecekteki Saldırı Göstergeleri (IOFA) Akışını derleyerek proaktif adımlar attı. Bu besleme, kurumsal kullanıcılar için çok önemli bir kaynaktır ve güvenlik protokollerini geliştirmek ve potansiyel tehditleri tespit etmek için veriler sağlar.
Kötü amaçlı reklamcılık kampanyalarının sürekliliği, siber tehditlerin gelişen ortamını öne çıkarıyor ve sağlam soruşturma ve önleyici tedbirlere olan ihtiyacı vurguluyor.
ANY.RUN ile Gerçek Dünyadaki Kötü Amaçlı Bağlantıları, Kötü Amaçlı Yazılımları ve Kimlik Avı Saldırılarını Araştırın – Ücretsiz Deneyin