Siber güvenlik araştırmacıları, bir Rus kurşun geçirmez barındırma servis sağlayıcısıyla ilişkili IP adreslerinden kaynaklanan “kitle taraması, kimlik bilgisi kaba zorlama ve sömürü girişimlerinde” bir artış olduğunu açıkladılar. Proton66.
Geçen hafta TrustWave SpiderLabs tarafından yayınlanan iki bölümlük bir analize göre, 8 Ocak 2025’ten beri tespit edilen etkinlik, dünya çapında kuruluşları hedef aldı.
Güvenlik araştırmacıları Pawel Knapczyk ve Dawid Nesterowicz, “Net Bloklar 45.135.232.0/24 ve 45.140.17.0/24, özellikle kitle tarama ve kaba kuvvet girişimleri açısından aktifti.” Dedi. Diyerek şöyle devam etti: “rahatsız edici IP adreslerinin birçoğunun daha önce kötü niyetli etkinlikte yer almadığı veya iki yıldan fazla bir süredir aktif olmadığı görülüyordu.”
Rus özerk sistemi Proton66, Prospero adlı başka bir otonom sisteme bağlı olduğu değerlendirildi. Geçen yıl, Fransız güvenlik firması Intrinsec, Rus siber suç forumlarında SecureHost ve Bearhost adları altında pazarlanan kurşun geçirmez hizmetlerle bağlantılarını detaylandırdı.
Gootloader ve Spynote dahil olmak üzere birçok kötü amaçlı yazılım ailesi, Proton66’daki komut ve kontrol (C2) sunucularını ve kimlik avı sayfalarını barındırdı. Bu Şubat ayının başlarında, güvenlik gazetecisi Brian Krebs, Prospero’nun Moskova’daki Rus antivirüs satıcısı Kaspersky Lab tarafından işletilen ağlar aracılığıyla operasyonlarını yönlendirmeye başladığını açıkladı.
Bununla birlikte, Kaspersky Prospero ile çalıştığını ve “Kaspersky tarafından işletilen ağlar aracılığıyla yönlendirmenin varsayılan olarak şirketin hizmetlerinin ortalama sağlanması olmadığını, çünkü Kaspersky’nin otomatik sistemi (AS) yolunun telekom sağlayıcıları ağında teknik bir önek olarak görünebileceğini ve DDOS hizmetlerini sağladığını” söyledi.
TrustWave’in son analizi, Proton66 net bloklarından birinden kaynaklanan kötü niyetli taleplerin (193.143.1[.]65) Şubat 2025’te en son kritik güvenlik açıklarından bazılarını kullanmaya çalıştı –
- CVE-2025-0108 – Palo Alto Networks Pan-Os yazılımında bir kimlik doğrulama baypas güvenlik açığı
- CVE-2024-41713 – Mitel Micollab’ın Nupoint Birleşik Mesajlaşma (NPM) bileşeninde yetersiz bir giriş doğrulama güvenlik açığı
- CVE-2024-10914 – Bir komut enjeksiyon güvenlik açığı D-Link NAS
- CVE-2024-55591 & CVE-2025-24472 – Fortinet Fortios’taki Kimlik Doğrulama Bypass Güvenlikleri
İki Fortinet Fortios kusurunun sömürülmesinin, SuperBlack adlı yeni bir fidye yazılımı suşu sağladığı gözlemlenen Mora_001 adlı bir başlangıç erişim brokerine atfedildiğini belirtmek gerekir.
Siber güvenlik firması, Xworm, Strelastealer ve Weaxor adlı bir fidye yazılımı gibi kötü amaçlı yazılım ailelerini dağıtmak için tasarlanmış Proton66 ile bağlantılı birkaç kötü amaçlı yazılım kampanyası da gözlemlediğini söyledi.
Bir başka dikkate değer etkinlik, Proton66 bağlantılı IP adresi “91.212.166[.]21 “Android aygıt kullanıcılarını Google Play uygulama listelerini taklit eden ve kullanıcıları kötü amaçlı APK dosyalarını indirmeye kandıran kimlik avı sayfalarına yönlendirmek için.
Yeniden yönlendirmeler, Proton66 IP adresinde barındırılan kötü amaçlı JavaScript ile kolaylaştırılır. Sahte Play Store alan adlarının analizi, kampanyanın Fransızca, İspanyolca ve Yunanca konuşan kullanıcıları hedeflemek için tasarlandığını göstermektedir.
Araştırmacılar, “Redirektör komut dosyaları gizleniyor ve kurbanlara karşı tarayıcılar ve VPN veya proxy kullanıcıları hariç olmak üzere birkaç kontrol gerçekleştiriyor.” “Kullanıcı IP, ipify.org’a bir sorgu yoluyla elde edilir, ardından proxy üzerinde bir VPN varlığı, daha sonra Ipinfo.io’ya bir sorgu yoluyla doğrulanır. Sonuçta, yeniden yönlendirme yalnızca bir Android tarayıcı bulunursa gerçekleşir.”
Ayrıca, Proton66 IP adreslerinden birinde barındırılan Xworm kötü amaçlı yazılımların konuşlandırılmasına yol açan, özellikle Koreli konuşan sohbet odası kullanıcılarını sosyal mühendislik şemalarını kullanan bir zip arşividir.
Saldırının ilk aşaması, bir PowerShell komutunu yürüten bir Windows kısayoludur (LNK), daha sonra aynı IP adresinden baz64 kodlu bir .NET DLL’yi indiren görsel bir temel komut dosyası çalıştırır. DLL, Xworm ikili indirme ve yüklemeye devam eder.
Proton66 bağlantılı altyapı, bir IP adresi ile iletişim kuran bir bilgi çalma olan Strelastealer (193.143.1[.]205) C2 için.
Son olarak, Weaxor fidye yazılımı artefaktları – Mallox’un revize edilmiş bir sürümü – Proton66 ağında bir C2 sunucusuyla temasa geçti (“193.143.1[.]139 “).
Kuruluşların potansiyel tehditleri nötralize etmek için muhtemelen ilgili bir Hong Kong merkezli sağlayıcı olan Proton66 ve Chang Way Technologies ile ilişkili tüm sınıfsız alanlar arası yönlendirme (CIDR) aralıklarını engellemeleri tavsiye edilir.