Bir tehdit oyuncusu Dolandırıcılık Strela Stealer olarak bilinen bir bilgi stealer dağıtan güç kampanyaları olarak dışarı çıktı.
Bu, tehdit oyuncusunun, Starfish adlı bir arka kapı olan stealer’ın ilk aşamasını barındıran alanların kontrolünü sürdürdüğünü bulan Infoblox’un bulgularına göre.
DNS tehdit istihbarat firması, Godaddy’ye ait Sucuri’nin WordPress sitelerini hedefleyen saldırıların detaylarını, DNS TXT kayıtlarını bir trafik dağıtım sistemi (TDS) için bir iletişim kanalı olarak kullanan kötü amaçlı JavaScript’i hedefleyen saldırıların ayrıntılarını, site ziyaretçilerine ve kötü amaçlı yazılımlara yeniden yönlendirdiğini, site ziyaretçilerini yeniden yönlendirdiğini söyledi. Tehdit oyuncusu izleri Şubat 2020’ye kadar uzanıyor.
Infoblox, “Geleneksel olarak bu yönlendirmeler dolandırıcılıklara yol açarken, kötü amaçlı yazılım son zamanlarda DNS tabanlı komut ve kontrol (C2) sistemi aracılığıyla uzaktan içerik yürütmek için gelişti.” Dedi. Diyerek şöyle devam etti: “Bu kötü amaçlı yazılımları Detour Dog olarak kontrol eden tehdit aktörünü izliyoruz.”
Şirket başına, köpeğin sahip olduğu altyapı, Strela stealer için bir kanal görevi gören basit bir ters kabuk olan denizyıldızını barındırmak için kullanılmıştır. Temmuz 2025’te yayınlanan bir raporda IBM X-Force, arka kapının enfekte olmuş makinelere kalıcı erişim sağlamak amacıyla kötü niyetli SVG dosyaları aracılığıyla teslim edildiğini söyledi.
En az 2022’den bu yana Strela Stealer kampanyalarının arkasındaki tehdit oyuncusu Hive0145’in finansal olarak motive edildiği değerlendiriliyor ve muhtemelen bir başlangıç erişim brokeri (IAB) olarak faaliyet gösteriyor, kar için tehlikeye atılan sistemlere erişim elde ediyor ve satıyor.
Infoblox’un analizi, doğrulanmış denizyıldızı sahneleme konakçılarının en az% 69’unun dolambaçlı köpeğin kontrolü altında olduğunu ve REM proxy olarak ilan edilen bir Mikrotik botnet’in, SystemBC tarafından geçen ay ortaya çıkarıldığı gibi, saldırı zincirinin de bir parçası olduğunu ortaya koydu.
Özellikle, Strela Stealer’ı dağıtan spam e-posta mesajlarının REM Proxy’den kaynaklandığı ve Tofsee olarak adlandırılan başka bir botnet, geçmişte Privateloader adı verilen C ++ tabanlı bir yükleyici aracılığıyla yayılmış olduğu ortaya çıktı. Her iki durumda da, Detour Dog Altyapısı saldırının ilk aşamasına ev sahipliği yaptı.
Hacker News’e Tehdit İstihbarat Başkan Yardımcısı Dr. Renée Burton, “Botnets spam mesajlarını teslim etmek için sözleşme imzalandı ve Detour Dog, kötü amaçlı yazılımları teslim etmek için sözleşme imzalandı.” Dedi.
Dahası, Detour Dog’un, tehdit aktör kontrollü DNS ad sunucuları, tehlikeye atılan sitelerden özel olarak biçimlendirilmiş DNS sorgularını ayrıştırmak ve uzaktan kod yürütme komutlarıyla yanıtlamak için değiştirilmiş tehdit aktör kontrollü DNS ad sunucularının DNS TXT kayıtları aracılığıyla dağıtımını kolaylaştırdığı bulunmuştur.
Detour Dog’un Modus Operandi Yeni altyapı elde etmek söz konusu olduğunda, kötü amaçlı kod enjeksiyonları yapmak için savunmasız WordPress sitelerinden yararlanmak, ancak şirket o zamandan beri yöntemlerin gelişmeye devam ettiğini söyledi.
Saldırının dikkate değer bir yönü, tehlikeye atılan web sitesinin normalde% 90’ını işleyeceği, böylece kırmızı bayrak oluşturmaması ve kötü amaçlı yazılımların uzun süre devam etmesine izin vermesidir. Bununla birlikte, belirli örneklerde (yaklaşık%9), bir site ziyaretçisi Yardım TDS veya para yatırıcı TDS aracılığıyla bir aldatmacaya yönlendirilir; Çok daha nadir bir senaryoda (%1), site uzak bir dosya yürütme komutu alır. Yeniden yönlendirmenin tespit edilmesini önlemek için sınırlı olduğuna inanılmaktadır.
Geliştirme, Debour Dog’un ilk kez, trafiği sadece Viper Viper Şemsiyesi altında faaliyet gösteren kötü niyetli bir reklam teknolojisi şirketi olan Los Pollos’a yönlendirmekten sorumlu bir varlık olarak hareket eden kötü amaçlı yazılım dağıttığını görüyor.
Burton, “Finansal nedenlerle kötü amaçlı yazılım dağıtımını dahil etmek için dolandırıcılıktan geliştiklerinden şüpheleniyoruz.” Dedi. Diyerek şöyle devam etti: “Güvenlik endüstrisinde son 12-18 ay boyunca, Detour Dog’un geçmişte desteklediği dolandırıcılık türünü durdurmak için büyük bir odak noktası oldu. Bunu doğrulayamasak da daha az para kazandıklarına inanıyoruz.”
Bu değişiklikleri tamamlamak, Detour Dog tarafından kullanılan Web Sitesi kötü amaçlı yazılımlarının kendi evrimine tanık olması ve enfekte olmuş web sitelerine uzak sunuculardan kod yürütmesi için komuta etme yeteneğini kazanmasıdır.
Haziran 2025 itibariyle, yanıtlar enfekte olmayı, kötü amaçlı yazılımları dağıtmak için doğrulanmış Strela Stealer C2 sunucularından PHP komut dosyalarının çıktısını almaya yönlendirmiştir – bu da DNS’nin hem iletişim kanalı hem de dağıtım mekanizması olarak ikili kullanımını önermektedir.
Şirket, “TXT kayıt sorgularına verilen yanıtlar base64 kodludur ve bu yeni eylemi tetiklemek için açıkça ‘aşağı’ kelimesini içerir.” “Bunun, farklı aşamaların tehdit aktörünün kontrolü altındaki farklı ana bilgisayarlardan getirildiği ve kullanıcı kampanya cazibesi ile etkileşime girdiğinde, örneğin e -posta eki ile yeniden aktarıldığı yeni bir ağa bağlı kötü amaçlı yazılım dağıtım modeli oluşturduğuna inanıyoruz.
“Bunun gibi yeni bir kurulum, bir saldırganın kimliklerini tehlikeye atılmış web sitelerinin arkasına gizlemesine izin vererek operasyonlarını daha esnek hale getirecek, bu arada tehdit avcılarını yanlış yönlendirmeye hizmet edecek, çünkü kötü amaçlı yazılım gerçekten analiz edilen eklerin sahnenin barındırıldığını gösteriyor.”
Tüm eylem dizisi aşağıdaki gibi ortaya çıkıyor –
- Mağdur, enfekte olmuş bir alana ulaşan bir SVG dosyası başlatarak kötü niyetli bir belge açar
- Geri ihlal edilen site, DNS aracılığıyla Detour Dog C2 sunucusuna bir txt kaydı isteği gönderir
- Ad sunucusu, “Aşağı” ile ön eklenmiş bir Strela C2 URL’si içeren bir txt kaydı ile yanıt verir.
- Geri ihlal edilen site, aşağı önekini kaldırır ve denizyıldızı indiricisini URL’den almak için curl kullanır
- Tahmin edilen site, indiriciyi müşteriye (yani kurban) göndermek için bir röle görevi görür.
- İndirici, başka bir tehlikeye atılan etki alanına bir çağrı başlatır
- İkinci tehlikeye atılan etki alanı, Detour Dog C2 sunucusuna benzer bir DNS txt sorgusu gönderir
- Detour Dog Name Server, yine “Aşağı” ile ön eklenmiş yeni bir Strela C2 URL ile yanıt veriyor.
- İkinci tehlikeye atılan alan adı önekte şeref verir ve Strela C2 sunucusuna denizyıldızı getirmesi için bir kıvrılma isteği gönderir
- Sakkollanmış ikinci alan, kötü amaçlı yazılımları müşteriye göndermek için bir röle görevi görür (yani kurban)
Infoblox, Shadowserver Foundation ile DePole Dog’un C2 alanlarından ikisini düden etmek için çalıştığını söyledi (Webdmonitor[.]IO ve Aeroarrows[.]IO) 30 Temmuz ve 6 Ağustos 2025’te.
Şirket ayrıca, tehdit aktörünün muhtemelen bir hizmet olarak dağıtım (DAAS) sağlayıcısı olarak işlev gördüğüne dikkat çekti ve altyapısı yoluyla yayılan “görünüşte ilgisiz bir dosya” nın kanıtını bulundu. Ancak, “teslim edilenleri doğrulayamadı” dedi.