Çin’den kaynaklanan karmaşık bir kısa mesaj kimlik avı kampanyası, dünya çapındaki kullanıcıları hedef alan en kapsamlı siber güvenlik tehditlerinden biri olarak ortaya çıktı.
Smishing Triad olarak bilinen bir tehdit topluluğuna atfedilen operasyon, bankacılık, sağlık hizmetleri, kolluk kuvvetleri, e-ticaret ve devlet sektörlerinde SMS tabanlı dolandırıcılık ve taklit hizmetlerde büyük bir artışı temsil ediyor.
Ücret ihlali bildirimlerine ilişkin münferit olaylar olarak başlayan olay, 121’den fazla ülkedeki kullanıcıları etkileyen koordineli küresel bir kampanyaya dönüştü.
Palo Alto Networks analistleri, kapsamlı tehdit istihbaratı toplama yoluyla kampanyanın benzeri görülmemiş ölçeğini belirledi.
Araştırmaları, Ocak 2024’ten bu yana kayıtlı 136.933 kök alanı kapsayan 194.345 tam nitelikli alan adını ortaya çıkardı.
Tehdit aktörlerinin tespit mekanizmalarından kaçınmak için her gün binlerce alan adına kaydolması ve bu alan üzerinden geçiş yapmasıyla saldırı altyapısı olağanüstü bir karmaşıklık sergiliyor.
Bu alan adlarının çoğunluğu, Hong Kong merkezli bir kayıt şirketi olan Dominet (HK) Limited üzerinden akıyor ve DNS altyapısı için Çin ad sunucularını kullanıyor.
Ancak asıl barındırma altyapısı, ABD bulut hizmetlerinde, özellikle de 104.21.0.0/16 alt ağındaki AS13335 otonom sisteminde yoğunlaşıyor.
Kampanyanın dağıtım mekanizmaları önemli bir dönüşümden geçti. İlk saldırılarda iMessage aracılığıyla e-postadan SMS’e özellikler kullanılıyordu ancak tehdit aktörleri yakın zamanda doğrudan telefon numarasına dayalı dağıtıma geçti.
.webp)
Mesajlar ağırlıklı olarak Filipin uluslararası kodlarından (+63) ve ABD numaralarından (+1) geliyor ve meşruiyet yanılsaması yaratıyor.
Kimlik avı mesajlarının kendisi, aciliyet ve güvenilirlik oluşturmak için hedeflenen kişisel bilgileri ve teknik jargonu birleştiren karmaşık sosyal mühendislik taktiklerini kullanır.
Palo Alto Networks araştırmacıları, operasyonun Telegram kanalları aracılığıyla çalışan kapsamlı bir Hizmet Olarak Kimlik Avı ekosistemi olarak işlev gördüğünü belirtti.
Smishing Triad’ın iletişim ağlarının analizi, farklı rollere sahip oldukça uzmanlaşmış bir tedarik zincirini ortaya çıkardı.
Veri komisyoncuları hedef telefon numaralarını satar, alan adı satıcıları tek kullanımlık alan adlarını kaydeder ve barındırma sağlayıcıları arka uç altyapısını korur.
Kimlik avı kiti geliştiricileri ön uç arayüzleri ve kimlik bilgileri toplama kontrol panelleri oluştururken, SMS spam göndericileri de mesajları geniş ölçekte iletir.
Destekleyici roller arasında aktif telefon numaralarını doğrulayan canlılık tarayıcıları ve hızlı varlık rotasyonunu tetiklemek için etki alanı itibarını izleyen engellenenler listesi tarayıcıları yer alır.
Yeraltı Altyapısı ve Etki Alanı Yaşam Döngüsü
Kampanyanın altyapısı, merkezi olmayan yönetim ve hızlı etki alanı döngüsü sayesinde dikkate değer bir esneklik sergiliyor.
Palo Alto Networks analistleri, alan adlarının yüzde 29,19’unun iki gün veya daha kısa süre, yüzde 71,3’ünün ise bir haftadan kısa süre boyunca aktif kaldığını gözlemledi.
Alan adı adlandırma kuralları genellikle gov-addpayment.info veya composewxts.top gibi tireli dize modellerini takip eder ve sıradan incelemeleri yanıltmak için özel olarak tasarlanmıştır.
Telegram sohbet kayıtları, PhaaS ekosistemi içinde rekabet eden çeşitli yeraltı hizmet sağlayıcılarını gösteriyor.
Birbirine bağlı altyapı, 90 farklı kök etki alanının Cloudflare’in ağ altyapısı içindeki yoğunlaştırılmış IP adresi kümeleri üzerinden nasıl yönlendirildiğini ortaya koyuyor.
Daha Fazla Anında Güncelleme Almak için Bizi Google Haberler, LinkedIn ve X’te Takip Edin, CSN’yi Google’da Tercih Edilen Kaynak olarak ayarlayın.
