Korkutucu yazılımlar, potansiyel olarak istenmeyen programlar ve diğer dolandırıcılık sayfaları sunmak için 130.000’den fazla alan adını kullanan “ApateWeb” adlı yeni, büyük ölçekli bir kampanya keşfedildi. Tehdit aktörleri, kurbanları kötü amaçlı web sitelerine çekmek ve onları kötü amaçlı yazılım dağıtmak için kendi altyapılarına yönlendirmek için aldatıcı e-postalar kullanır.
Bu özel kampanya, çok katmanlı sistemlere ve giriş noktası ile son yükün teslimi arasında çeşitli yönlendirmelere sahip karmaşık bir altyapıya sahiptir. Kampanya, 2022’den bu yana son üç yıldır aktif.
Bu kampanyanın potansiyel etkisi çok büyüktür, çünkü bu kötü niyetli saldırganların kontrolündeki alan adları 1 milyon web sitesinin en üst listesinde yer almakta ve her ay milyonlarca tekil ziyarete katkıda bulunmaktadır.
Trustifi’nin Gelişmiş tehdit koruması, en geniş yelpazedeki karmaşık saldırıları, kullanıcının posta kutusuna ulaşmadan önce önler. Gelişmiş Yapay Zeka Destekli E-posta Koruması ile Trustifi Ücretsiz Tehdit Taramasını deneyin.
Ücretsiz Tehdit Taraması Çalıştırın
ApateWeb: 130.000+ Alan Adı
Cyber Security News ile paylaşılan raporlara göre kampanya, tehdit aktörlerinin tarayıcılardan, botlardan, güvenlik savunucularının taramalarından ve diğer araştırma mekanizmalarından kaçmaya yönelik karmaşık bir iş akışı ve altyapı kurulumuna sahip. Ancak kampanyayı üç katmana ayırmak mümkün.
Birinci Katman (Katman 1), mağdurlara e-posta yoluyla dağıtılan giriş noktası URL’lerinden oluşur. Buradan trafik ikinci katmana (Katman 2) yönlendirilir. Reklam yazılımı veya anti-bot doğrulaması da dahil olmak üzere bir dizi yeniden yönlendirme gerçekleştirilir ve son olarak son katman (Katman 3) sunulur.
Bu son katman, bir korkutucu yazılım, PUP veya dolandırıcılık sayfası olabilecek kötü amaçlı yükü sağlar. Saldırganın sahip olduğu alan adlarının %93’ü yalnızca 10 IP adresine çözümlenir.
- 192[.]243[.]59[.]20
- 192[.]243[.]59[.]13
- 192[.]243[.]59[.]12
- 192[.]243[.]61[.]227
- 192[.]243[.]61[.]225
- 173[.]233[.]139[.]164
- 173[.]233[.]137[.]60
- 173[.]233[.]137[.]52
- 173[.]233[.]137[.]44
- 173[.]233[.]137[.]36
Katman 1: Giriş Noktası
Bu katmanda kullanılan teknikler, arama motorlarına yönlendirmeyi, botlar/tarayıcılar için hata mesajı görüntülemeyi ve tespitten kaçınmak için çok sayıda alt alan adı oluşturmak amacıyla joker DNS’nin kötüye kullanılmasını içerir.
Ayrıca bu katman giriş noktası URL’sinden ve belirli parametrelerden oluşur. Bu URL parametrelerinin başarısız olması, bir hata sayfasının oluşmasına veya mağdura içerik sunulamamasına neden olur. Ayrıca bu katmanda her ziyaretçiye Benzersiz tanımlayıcılar atayabilen bir başlangıç yükü de bulunmaktadır.
Bu katman, Katman 3’e yönlendirmeden önce rastgele alanları kullanarak birkaç ara yeniden yönlendirme gerçekleştirir. Ayrıca, yeniden yönlendirme, incelendiğinde, trafiği reklam yazılımına yönlendirerek kampanyadan para kazanılabildiğini ortaya koyan ek parametreler içerir.
Buna ek olarak, bu katmanda CAPTCHA gibi bazıları insan etkileşimi gerektiren anti-bot doğrulamaları da bulunmaktadır. Bazı durumlarda, Katman 2 yeniden yönlendirmeden atlanır ve doğrudan Katman 3 sunulur.
Katman 3: Nihai Yüke Yönlendirme
Bu, kötü amaçlı programın indirilmesi için bir web sayfası görevi gören saldırı zincirinin son aşamasıdır. Kötü amaçlı yüklerinin genel bulut ortamlarında barındırıldığı tespit edildi. Bazı durumlarda kötü amaçlı yüklerin istenmeyen tarayıcılar ve uzantılar olduğu da tespit edildi.
Kampanya, kullanılan URL’ler, metodolojiler, kaçınma taktikleri ve diğer bilgiler hakkında ayrıntılı bilgi sağlayan Birim 42 tarafından yayınlandı.
Uzlaşma Göstergeleri
Kampanya giriş noktası örneği
Mağdurları takip etmek için merkezi altyapının bir parçası olan alanlar
- profesyonelweb kontrolü[.]iletişim
- yüksek trafik sayacı[.]iletişim
- proftraficcounter[.]iletişim
- uzman trafik monitörü[.]iletişim
Kampanya giriş noktasını barındıran IP adresleri
- 192[.]243[.]59[.]20
- 192[.]243[.]59[.]13
- 192[.]243[.]59[.]12
- 192[.]243[.]61[.]227
- 192[.]243[.]61[.]225
- 173[.]233[.]139[.]164
- 173[.]233[.]137[.]60
- 173[.]233[.]137[.]52
- 173[.]233[.]137[.]44
- 173[.]233[.]137[.]36
Trafik reklam yazılımına yönlendirildi
- izci-tds[.]bilgi
- jpadsnow[.]iletişim
- reklam engelleme24[.]açık
- Myqenad24[.]iletişim
PUP indirme örneği:
- bd62d3808ef29c557da64b412c4422935a641c22e2bdcfe5128c96f2ff5b5e99
- bir sanatçı[.]iletişim
Diğer kampanya alanları:
- canlandırmak[.]açık
- albenioutlayterrific[.]iletişim
En son siber güvenlik haberleri, teknik incelemeler, infografikler ve daha fazlası için bizi LinkedIn’de takip edin. Siber güvenlikteki en son trendlerden haberdar olun ve güncel kalın.