Araştırmacılar, Çin tabanlı Funnull İçerik Dağıtım Ağı’nı (CDN), tehdit aktörlerinin Amazon Web Services (AWS) ve Microsoft Azure gibi ana barındırma sağlayıcılarını kullandıkları “Altyapı Akalizasyon” olarak adlandırdıkları kötü niyetli bir uygulamaya bağladılar. Etkinlik, bu sağlayıcılardan IP adresleri kiralayan “barındırma şirketleri” işleten tehdit aktörlerini içeriyor ve daha sonra bunları ceza web sitelerine eşleştiriyor.
Silent Push’tan araştırmacılar, AWS ve Microsoft Azure Cloud barındırma hizmetlerinin “tehdit aktörleri tarafından genellikle büyük ölçekli kullanımda görüldüğünü” fark ettiklerinde uygulamayı keşfettiler. Yakın zamanda yayınlanan rapor. Daha fazla araştırma, onları diğer kötü niyetli etkinlikler için şüpheler yaratmış olan bir Çinli şirket olan Funnull CDN’nin bu taktiği bir aldatmaca web sitesi ağına ev sahipliği yapmak için kullandığını keşfetti.
Silent Push’a göre Funnull, AWS’den 1.200’den fazla IP ve Microsoft’tan yaklaşık 200 IP kiraladı. Bunlar bu yazı itibariyle neredeyse hepsi devredilmiş olsa da, şirket sürekli Yeni IP’ler edinir Birkaç haftada bir, bunları kullanmak ve daha sonra savunuculardan önce onları boşaltmak kötü amaçlı etkinliği tanımlayabilir.
Rapora göre, “Sağlayıcılar Funnull CDN tarafından kullanılan belirli IP adreslerini sürekli olarak yasaklarken, hız ne yazık ki IP’leri elde etmek için kullanılan süreçlere ayak uyduracak kadar hızlı değil.”
Bir güvenlik uzmanı, kötü niyetli etkinlikleri meşru web trafiğiyle harmanlamak için karmaşıktır, çünkü kötü niyetli etkinlikleri meşru web trafiğiyle harmanlıyor ve sağlayıcıların yasal kullanıcılar için bir bozulma oluşturmadan erişimi engellemesini zorlaştırıyor.
Siber güvenlik şirketi KnowBe4’teki bir güvenlik farkındalığı savunucusu Erich Kron, “Büyük sağlayıcılar kullanarak, kötü aktörler kuruluşların IP aralıklarını engellemesini çok daha zorlaştırıyor çünkü bu büyük sağlayıcılar da önemli web hizmetleri için meşru IP adresleri sağlıyor olabilir.” “Bu, büyük adres parçalarını kolayca engelleme yeteneğini engelliyor.”
Birden fazla dolandırıcılık çalıştırmak
Funnull CDN, rapora göre, “yatırım dolandırıcılığı ve sahte ticaret uygulamaları gibi yasadışı faaliyetler” ile bağlantılı olan 200.000’den fazla benzersiz ana bilgisayar adına – yaklaşık% 95’i etki alanı üretim algoritmaları (DGA’lar) (DGA’lar) ile üretiliyor.
Rapora göre, “Ayrıca, bu etkinlikler, bir düzine popüler casino markasının ticari markalarını kötüye kullanan ve bugün çevrimiçi olarak mevcut olan Shell kumar web sitelerinde bir hizmet olarak kara para aklama ile doğrudan ilişkilidir.”
Sessiz itme ile ortaya çıkarılan etkinlik, Funnull CDN’nin şüpheli aktiviteye ilk kez bağlı olmadığı değildir. Geçen yıl, şirket bir alan adı satın aldıPolyilfill[.]IO, 100.000’den fazla web sitesinin JavaScript kodu sunmak için kullandığı. Kısa bir süre sonra, dinamik olarak oluşturulan yükleri kullanan, kullanıcıları pornografik ve spor bantlama sitelerine yönlendiren ve potansiyel olarak veri hırsızlığı, tıklama veya diğer saldırılara yol açabilecek bir tedarik zinciri saldırısı için bir kanal olarak kullanıldığı bulundu.
Silent Push’a göre, 2022’deki zirvede Funnull CDN’nin yatırım dolandırıcı altyapısının binlerce aktif alana sahip olduğu vardı. 2024’te bu portföy daha “mütevazı” idi, ancak yine de Cmagrouphkpd dahil bazı aktif siteler vardı[.]Son zamanlarda çevrimdışı olan ancak son iki yıldır CME Group’un markasını ve logosunu kötüye kullanan sahte bir ticaret platformuna ev sahipliği yapmıştı.
Bir yanlış isim “aklama” mı?
AWS, rapordaki bulgulara halka açık bir yanıt verdi, bazılarını doğruladı ve başkalarıyla sorun çıkardı. Şirket, Silent Push’s Raporu almadan önce, “faaliyetin zaten farkındaydı” ve aktif olarak askıya alındığını söyledi. hileli olarak edinilmiş hesaplar Funnull CDN’nin kötü niyetli etkinliğine bağlı.
Sessiz Push raporunda yer alan bir AWS ifadesine göre, “Etkinliğe bağlı olduğu bilinen tüm hesaplar askıya alındı.” Diyerek şöyle devam etti: “Bu faaliyetten mevcut bir risk olmadığını ve müşteri eylemi gerekmediğini doğrulayabiliriz.”
AWS ayrıca, faaliyeti tanımlamak için “altyapı aklama” teriminin yanlış bir isim olduğunu, çünkü yasadışı aktiviteyi “temiz” yapmayı içermediğini belirtti.
Şirket, “Bu ifadeyi kullanarak rapor, AWS’nin küfürlü faaliyetin meşru görünmesini ve dolayısıyla tespit edilmesi veya engellenmesi daha zor olmasını sağlamak için aracı olduğunu ima ediyor.” Dedi. “Bu yanlış.”
AWS, Dark Reading’in yorum talebine hemen yanıt vermedi.
Bir Microsoft sözcüsü, Dark Reading the Tech devini raporda açıklanan etkinliği araştırdığını söyledi. Bu arada, sessiz itme, Funnull CDN ve diğer tehdit aktörlerinden ilgili faaliyetleri araştırmaya devam edecek ve uygun olduğunda güncellemeler sağlayacağını söyledi.
İşletmelerin de etkinliğe yakalanmamak için bulut hesaplarını gözden geçirmeleri gerekiyor. KnowBe4’ten Kron, tehdit aktörlerinin kendi bilgileri olan bir ana bulut sağlayıcısıyla bir hesap oluşturma olasılığını öne sürüyor; Bunun yerine, muhtemelen çalıntı hesaplar kullanıyorlar. Bu hesap devralmaları, muhtemelen çalınan veya Çatlak kimlik bilgilerikullanım yapmak Çok Faktörlü Kimlik Doğrulama (MFA) Bu tür bir aktiviteyi azaltmanın bir başka potansiyel yolunun da olduğunu söylüyor.
Kron şunları ekliyor: “Kuruluşlar hesapları erişim, denetleme işlemleri ile gözden geçirmeli ve insanları bulut hesaplarında potansiyel kötü amaçlı etkinliklerin nasıl tespit edeceği konusunda eğitmelidir.”