Bilgisayar Korsanları Siber Saldırılar İçin 130.000+ Alan Adı Kullanıyor

   Şubat 5, 2024  Posted in GBHackers


Korkutucu yazılımlar, potansiyel olarak istenmeyen programlar ve diğer dolandırıcılık sayfaları sunmak için 130.000’den fazla alan adını kullanan “ApateWeb” adlı yeni, büyük ölçekli bir kampanya keşfedildi. Tehdit aktörleri, kurbanları kötü amaçlı web sitelerine çekmek ve onları kötü amaçlı yazılım dağıtmak için kendi altyapılarına yönlendirmek için aldatıcı e-postalar kullanır.

Bu özel kampanya, çok katmanlı sistemlere ve giriş noktası ile son yükün teslimi arasında çeşitli yönlendirmelere sahip karmaşık bir altyapıya sahiptir. Kampanya, 2022’den bu yana son üç yıldır aktif.

Bu kampanyanın potansiyel etkisi çok büyüktür, çünkü bu kötü niyetli saldırganların kontrolündeki alan adları 1 milyon web sitesinin en üst listesinde yer almakta ve her ay milyonlarca tekil ziyarete katkıda bulunmaktadır.

ApateWeb Kampanya Altyapısı (Kaynak: Birim 42)
ApateWeb Kampanya Altyapısı (Kaynak: Birim 42)

Belge

Posta Kutunuzda Ücretsiz ThreatScan’i Çalıştırın

Trustifi’nin Gelişmiş tehdit koruması, en geniş yelpazedeki karmaşık saldırıları, kullanıcının posta kutusuna ulaşmadan önce önler. Gelişmiş Yapay Zeka Destekli E-posta Koruması ile Trustifi Ücretsiz Tehdit Taramasını deneyin.

ApateWeb: 130.000+ Alan Adı

Cyber ​​Security News ile paylaşılan raporlara göre kampanya, tehdit aktörlerinin tarayıcılardan, botlardan, güvenlik savunucularının taramalarından ve diğer araştırma mekanizmalarından kaçmaya yönelik karmaşık bir iş akışı ve altyapı kurulumuna sahip. Ancak kampanyayı üç katmana ayırmak mümkün.

Birinci Katman (Katman 1), mağdurlara e-posta yoluyla dağıtılan giriş noktası URL’lerinden oluşur. Buradan trafik ikinci katmana (Katman 2) yönlendirilir. Reklam yazılımı veya anti-bot doğrulaması da dahil olmak üzere bir dizi yeniden yönlendirme gerçekleştirilir ve son olarak son katman (Katman 3) sunulur.

Bu son katman, bir korkutucu yazılım, PUP veya dolandırıcılık sayfası olabilecek kötü amaçlı yükü sağlar. Saldırganın sahip olduğu alan adlarının %93’ü yalnızca 10 IP adresine çözümlenir.

  • 192[.]243[.]59[.]20
  • 192[.]243[.]59[.]13
  • 192[.]243[.]59[.]12
  • 192[.]243[.]61[.]227
  • 192[.]243[.]61[.]225
  • 173[.]233[.]139[.]164
  • 173[.]233[.]137[.]60
  • 173[.]233[.]137[.]52
  • 173[.]233[.]137[.]44
  • 173[.]233[.]137[.]36

Katman 1: Giriş Noktası

Bu katmanda kullanılan teknikler, arama motorlarına yönlendirmeyi, botlar/tarayıcılar için hata mesajı görüntülemeyi ve tespitten kaçınmak için çok sayıda alt alan adı oluşturmak amacıyla joker DNS’nin kötüye kullanılmasını içerir.

Ayrıca bu katman giriş noktası URL’sinden ve belirli parametrelerden oluşur. Bu URL parametrelerinin başarısız olması, bir hata sayfasının oluşmasına veya mağdura içerik sunulamamasına neden olur. Ayrıca bu katmanda her ziyaretçiye Benzersiz tanımlayıcılar atayabilen bir başlangıç ​​yükü de bulunmaktadır.

Bu katman, Katman 3’e yönlendirmeden önce rastgele alanları kullanarak birkaç ara yeniden yönlendirme gerçekleştirir. Ayrıca, yeniden yönlendirme, incelendiğinde, trafiği reklam yazılımına yönlendirerek kampanyadan para kazanılabildiğini ortaya koyan ek parametreler içerir.

Buna ek olarak, bu katmanda CAPTCHA gibi bazıları insan etkileşimi gerektiren anti-bot doğrulamaları da bulunmaktadır. Bazı durumlarda, Katman 2 yeniden yönlendirmeden atlanır ve doğrudan Katman 3 sunulur.

CAPTCHA doğrulaması (Kaynak: Birim 42)
CAPTCHA doğrulaması (Kaynak: Ünite 42)

Katman 3: Nihai Yüke Yönlendirme

Bu, kötü amaçlı programın indirilmesi için bir web sayfası görevi gören saldırı zincirinin son aşamasıdır. Kötü amaçlı yüklerinin genel bulut ortamlarında barındırıldığı tespit edildi. Bazı durumlarda kötü amaçlı yüklerin istenmeyen tarayıcılar ve uzantılar olduğu da tespit edildi.

Yük Teslimatı (Kaynak: Ünite 42)
Yük Teslimatı (Kaynak: Ünite 42)

Kampanya, kullanılan URL’ler, metodolojiler, kaçınma taktikleri ve diğer bilgiler hakkında ayrıntılı bilgi sağlayan Birim 42 tarafından yayınlandı.

Uzlaşma Göstergeleri

Kampanya giriş noktası örneği

Mağdurları takip etmek için merkezi altyapının bir parçası olan alanlar

  • profesyonelweb kontrolü[.]iletişim
  • yüksek trafik sayacı[.]iletişim
  • proftraficcounter[.]iletişim
  • uzman trafik monitörü[.]iletişim

Kampanya giriş noktasını barındıran IP adresleri

  • 192[.]243[.]59[.]20
  • 192[.]243[.]59[.]13
  • 192[.]243[.]59[.]12
  • 192[.]243[.]61[.]227
  • 192[.]243[.]61[.]225
  • 173[.]233[.]139[.]164
  • 173[.]233[.]137[.]60
  • 173[.]233[.]137[.]52
  • 173[.]233[.]137[.]44
  • 173[.]233[.]137[.]36

Trafik reklam yazılımına yönlendirildi

  • izci-tds[.]bilgi
  • jpadsnow[.]iletişim
  • reklam engelleme24[.]açık
  • Myqenad24[.]iletişim

PUP indirme örneği:

  • bd62d3808ef29c557da64b412c4422935a641c22e2bdcfe5128c96f2ff5b5e99
  • bir sanatçı[.]iletişim

Diğer kampanya alanları:

  • canlandırmak[.]açık
  • albenioutlayterrific[.]iletişim

En son siber güvenlik haberleri, teknik incelemeler, infografikler ve daha fazlası için bizi LinkedIn’de takip edin. Siber güvenlikteki en son trendlerden haberdar olun ve güncel kalın.



Source link