Çin’den kaynaklanan karmaşık ve yaygın bir cezalandırma kampanyası, dünya çapındaki kullanıcılar için önemli bir tehdit olarak ortaya çıktı.
Araştırmacılar devam eden saldırıyı, her gün binlerce kötü amaçlı alan adını kaydedip dağıtabilen merkezi olmayan bir altyapı aracılığıyla benzeri görülmemiş bir ölçek ve karmaşıklık sergileyen Smishing Triad olarak bilinen bir gruba bağladılar.
Ocak 2024’ten bu yana, güvenlik analistleri bu operasyonla bağlantılı 194.000’den fazla kötü amaçlı alan tespit etti; kampanya, Nisan 2024’ten bu yana aktif olarak ABD sakinlerini hedef alırken, küresel erişimini ve kurban tabanını hızla genişletiyor.
Saldırı, sahte geçiş ücreti ihlali ve SMS yoluyla gönderilen paketlerin yanlış teslimat bildirimleri yoluyla gerçekleştiriliyor ve kurbanları derhal eyleme geçmeye yönlendirmek için yapay bir aciliyet yaratıyor.
Geçtiğimiz altı ay içinde kanal, özel bir kimlik avı kiti pazarından, PhaaS ekosistemi içinde çeşitli tehdit aktörlerini bir araya getiren oldukça aktif bir topluluğa dönüştü.
Saldırganlar, bankacılık, kripto para platformları, e-ticaret, sağlık hizmetleri, kolluk kuvvetleri ve sosyal medya gibi kritik sektörlerde meşru uluslararası hizmetleri taklit ediyor.
Kullanılan sosyal mühendislik taktikleri, Ulusal Kimlik Numaraları, ev adresleri, ödeme ayrıntıları ve oturum açma kimlik bilgileri gibi hassas verileri çıkarmak için tasarlanmış kişiselleştirilmiş bilgiler, teknik jargon ve gerçekçi kimlik avı sayfalarını birleştirerek önemli ölçüde gelişti.
Küresel Ölçek ve Altyapı Gelişmişliği
Bu kampanyayı destekleyen altyapı son derece organize bir operasyonu ortaya koyuyor. Alan adları Hong Kong merkezli bir kayıt şirketi aracılığıyla kaydedilmesine ve Çin ad sunucularını kullanmasına rağmen, gerçek saldırı altyapısı öncelikle ABD bulut hizmetlerinde, özellikle de Cloudflare ağı içinde barındırılıyor.
WHOIS oluşturma tarihleri ilginç bir değişimi ortaya koyuyor. Bu kampanyada en popüler 10 alan adı önekini seçtik.
Kampanya, tek bir kontrol noktasının olmadığı ve sürekli gelişen barındırma sağlayıcılarının yer aldığı dikkat çekici bir merkeziyetsizlik örneği sergiliyor.
Saldırganlar, alan adlarını öncelikle Hong Kong merkezli bir kayıt şirketi olan Dominet Limited aracılığıyla kaydediyor ve belirlenen kök alan adlarının yaklaşık yüzde 68’ini oluşturuyor.
Geri kalan kayıtlar Namesilo ve Gname arasında dağıtılarak, hızlı alan adı rotasyonunun tespit ve engelleme mekanizmalarından kaçmasına olanak tanır.
Etki alanı analizi, mağdurları aldatmayı amaçlayan kasıtlı tasarım modellerini ortaya koyuyor. Birçok alan adı, yasal hizmetleri taklit eden ön eklere sahip tireli bir adlandırma yapısını izler.
Örneğin “irs.gov-addpayment” gibi alanlar[.]info”, geçici inceleme sırasında resmi hükümet web sitelerine benzeyecek şekilde hazırlanmıştır.
En yaygın şekilde kimliğine bürünülen hizmet, yaklaşık 28.000 özel kimlik avı alanıyla ABD Posta Servisi’dir; ücretli hizmetler ise yaklaşık 90.000 özel FQDN ile en büyük kategoriyi temsil etmektedir.
Alan başına DNS yanıtlarının sayısını topladık ve bu yanıtlardaki IP adreslerinin coğrafi konumunu belirledik.
Kayıtlı alan adlarının çoğu, oldukça kısa bir yaşam süresine sahiptir; yaklaşık yüzde 29’u iki gün veya daha kısa süre boyunca aktif kalır ve yüzde 82’den fazlasının süresi iki hafta içinde dolar.
Hizmet Olarak Kimlik Avı Ekosistemi
Operasyon, saldırı tedarik zincirinin farklı aşamalarını yöneten uzman tehdit aktörleriyle, gelişmiş bir hizmet olarak kimlik avı ekosistemi olarak işlev görüyor.
Sayfa, kullanıcıları makinelerinde kötü amaçlı komut dosyaları çalıştırmaya yönlendirmek için tasarlanmış sahte bir CAPTCHA sayfası içeriyor.
Yukarı yönlü katılımcılar arasında hedef telefon numaralarını satan veri aracıları, tek kullanımlık alan adlarını kaydeden alan adı satıcıları ve altyapı sağlayan barındırma sağlayıcıları yer alır.
Orta düzey operasyonlar, kimlik avı kiti geliştiricilerinin kimlik avı web siteleri oluşturmasını ve çalınan kimlik bilgilerini toplamak için kontrol panellerini korumasını içerir.
Alt katılımcılar SMS ve RCS dağıtımını geniş ölçekte yönetirken, destek uzmanları da aktif telefon numaralarını doğruluyor ve engellenenler listesinin etkinliğini izliyor. Bu bölümlendirme, verimli ölçeklendirme sağlar ve bireysel operatörün maruziyetini azaltır.
Araştırmalar, kampanyanın hedefleme stratejilerini sürekli olarak geliştirdiğini gösteriyor. Mayıs 2025’e kadar alan adı kayıtları “com-” öneklerini tercih ediyordu, ancak son aylarda “gov-” alan adı kayıtlarında önemli artışlar görülüyor ve bu da devlet hizmetlerini daha iyi taklit etmek için taktiksel bir adaptasyona işaret ediyor.
Mesajlar Filipin ülke kodlarıyla başlayan telefon numaralarından geliyor, ancak ABD telefon numaraları giderek daha fazla kullanılıyor, bu da ilişkilendirmeyi ve mağdur farkındalığını karmaşık hale getiriyor.
Güvenlik uzmanları, bilinmeyen gönderenlerden gelen istenmeyen iletilere karşı son derece dikkatli olunmasını öneriyor. Kullanıcılar, şüpheli mesajlarda yer alan bağlantılara tıklamaktan veya numaraları aramaktan kaçınarak, acil eylem gerektiren talepleri resmi hizmet sağlayıcı web siteleri veya uygulamaları aracılığıyla bağımsız olarak doğrulamalıdır.
Bu kampanyanın küresel kapsamı, karmaşık altyapısı ve gerçekçi kimlik avı sayfaları, iyi kaynaklara sahip, organize edilmiş kimlik avı operasyonlarının oluşturduğu ciddi tehdidi ortaya koyuyor.
Anında Güncellemeler Almak ve GBH’yi Google’da Tercih Edilen Kaynak Olarak Ayarlamak için bizi Google Haberler, LinkedIn ve X’te takip edin.