Güvenlik araştırmacılarının Prolific Puma adını verdiği bir aktör, en az dört yıldır siber suçlulara bağlantı kısaltma hizmetleri sağlıyor ve tespit edilmeden çalışacak kadar düşük bir profil tutuyor.
Bir aydan kısa bir süre içinde Prolific Puma, kimlik avı, dolandırıcılık ve kötü amaçlı yazılım dağıtımına yardımcı olmak için çoğu ABD üst düzey etki alanında (usTLD) olmak üzere binlerce alan adını kaydetti.
Siber suçlular için kısa URL hizmeti
Günde 70 milyar DNS sorgusunu inceleyen DNS odaklı bir güvenlik sağlayıcısı olan Infoblox’tan araştırmacılar, Prolific Puma etkinliğini ilk kez altı ay önce, kötü amaçlı URL kısaltma hizmeti için alan adlarını oluşturmak üzere kayıtlı bir alan oluşturma algoritması (RDGA) tespit ettikten sonra gözlemlediler.
Özel DNS dedektörleri kullanarak, kötü amaçlı ağı geliştikçe ve internette suçu kolaylaştırmak için usTLD’yi kötüye kullanırken takip edebildiler.
Bağlantı kısaltma hizmetlerinin doğası gereği Infoblox, şüpheli davranışlar sergileyen çok sayıda birbirine bağlı alan tespit etmesine rağmen kısa bağlantıları izleyebildi ancak son açılış sayfasını izleyemedi.
“Sonunda kimlik avı ve dolandırıcılık siteleri olan son açılış sayfalarına yönlendirilen kısaltılmış bağlantıların birkaç örneğini yakaladık” – Infoblox
Prolific Puma’nın kısa bağlantılarından bazıları doğrudan nihai hedefe yönlendiriyordu, ancak diğerleri, açılış sayfasına ulaşmadan önce birden fazla yönlendirmeye, hatta diğer kısaltılmış bağlantılara işaret ediyordu.
Infoblox, kısa bağlantıya erişmenin kullanıcıyı muhtemelen otomatik taramalardan korumak için bir CAPTCHA mücadelesine götürdüğü durumların da olduğunu söylüyor.
Prolific Puma’nın daha sonra yüklediği kısa bağlantılardaki bu tutarsızlık nedeniyle araştırmacılar, hizmeti birden fazla aktörün kullandığına inanıyor.
Bu bağlantıların dağıtım yöntemi de değişiklik gösteriyor ve sosyal medyayı ve reklamları içeriyor ancak kanıtlar ana kanal olarak kısa mesajları gösteriyor.
Büyük operasyon
Infoblox’un ortaya çıkardığı Prolific Puma operasyonunun boyutu etkileyici. Oyuncu, Nisan 2022’den bu yana 75.000’e kadar benzersiz alan adı kaydettirdi.
Aktörün ağındaki benzersiz alan adlarına bakan araştırmacılar, yılın başında tek bir günde en fazla dört karakterden oluşan 800’e yakın alan adının oluşturulduğu bir zirve gördü.
Üretken Puma alan adları 13 TLD’ye yayılmıştır. Ancak bu yılın mayıs ayından bu yana aktör, oluşturulan toplam alan adlarının yarısından fazlası için usTLD’yi kullandı; günlük ortalama 43’tü.
Ekim ortasından bu yana araştırmacılar, usTLD’de Prolific Puma faaliyetinin özel kayıt korumasının arkasında olduğunu gösteren 2.000’e yakın alan adının kapalı olduğunu fark ettiler.
| Kayıt memuru | Alan Adı Sayısı (1 Eylül – 15 Ekim 2023) |
|---|---|
| NameSilo – Üretken Puma | 1062 |
| NameSilo – muhtemelen Prolific Puma değil | 411 |
| Domuz Çöreği | 5 |
| İsimUcuz | 4 |
| Sav.com | 1 |
| usTLD’de özel olarak kayıtlı alan adları | |
Mevcut politika kapsamında .US ad alanında özel kayıtlara izin verilmediğini ve kayıt sahibinin doğru ve doğru bilgi vermesinin gerekli olduğunu belirtmekte fayda var.
Ayrıca, kayıt şirketlerinin .US alan adı tescil ettirenlere özel alan adı kayıtları sunmama yükümlülüğü vardır.
Tipik olarak, Prolific Puma alanları alfasayısaldır, sözde rastgeledir ve boyutları değişir; en yaygın olanı üç veya dört karakterli olanlardır. Ancak araştırmacılar yedi karakter uzunluğundaki alanları gözlemlediler.
| TLD | biz | bağlantı | bilgi | iletişim | cc | Ben |
|---|---|---|---|---|---|---|
| Alanlar | vf8[.]biz 2 oz[.]biz z3w[.]biz yw9[.]biz 8tm[.]biz |
cwm[.]bağlantı mevsim[.]bağlantı hhqm[.]bağlantı HAYIR[.]bağlantı hasta[.]bağlantı |
Uelr[.]bilgi ldka[.]bilgi fbvn[.]bilgi tatlım[.]bilgi shpw[.]bilgi |
kfwpr[.]iletişim trqrh[.]iletişim nhcux[.]iletişim Khrig[.]iletişim dvcgg[.]iletişim |
jlza[.]cc hpko[.]cc ddkn[.]cc MPSI[.]cc wkby[.]cc |
kepçe[.]Ben xnxk[.]Ben Şafak[.]Ben mjzo[.]Ben uzp[.]Ben |
| Prolific Puma tarafından farklı TLD’lerde kaydedilen 3 ila 4 karakter uzunluğunda alan örnekleri | ||||||
Son üç yılda aktör, çoğunlukla siber suçlular tarafından kötüye kullanılan ve toplu kayıt için bir API sunan ucuz bir internet alan adı kayıt şirketi olan NameSilo’nun barındırma hizmetini kullandı.
İnceleme ve tespitten kaçınmak için Prolific Puma, alan adlarını birkaç hafta boyunca pasif veya park halinde bırakarak yaşlandırıyor. Bu süre zarfında oyuncu itibar kazanmak için birkaç DNS sorgusu yapar.
Aktör, kullanıma hazır olduğunda alan adlarını kurşun geçirmez bir barındırma sağlayıcısına aktarıyor ve özel bir IP adresiyle hizmet veren sanal bir özel sunucu için Bitcoin kripto para birimiyle ödeme yapıyor.
Infoblox, bu alan adlarından bazılarının bir süre sonra terk edildiğini ancak DNS kaydının hala özel IP’yi gösterdiğini tespit etti.
Araştırmacılar, Prolific Puma’nın yalnızca kısa bağlantı hizmeti sağladığına ve açılış sayfalarını kontrol etmediğine inanıyor ancak aynı aktörün tüm operasyonu yürütme olasılığını da dışlamıyor.
Aşağıda, Prolific Puma hizmetinin, kimlik bilgileri ve ödeme isteyen bir kimlik avı sayfasının yer aldığı bir kampanyada, sonuçta kötü amaçlı bir tarayıcı eklentisi sunmak için nasıl kullanıldığına dair bir örnek verilmiştir.
Infoblox’a göre oyuncu, kısaltma hizmetinin yer altı pazarlarında reklamını yapmıyor ancak bu, en büyük ve en dinamik olanı. Birden fazla kayıt kuruluşunda kayıtlı on binlerce alan adının kullanılması, onların gözden kaçmalarını sağlar.
“Güvenlik sağlayıcıları nihai içeriği tanımlayıp engellese de, daha geniş bir bakış açısı olmadan etkinliğin tüm kapsamını görmek ve etki alanlarını tek bir DNS tehdit aktörü altında ilişkilendirmek zordur” – Infoblox
Infoblox, şüpheli veya kötü amaçlı alanları işaretleyen algoritmalar aracılığıyla bu büyük operasyonu ortaya çıkarmayı başardı. Pasif DNS sorgu günlükleri aracılığıyla, yeni sorgulanan, kaydedilen veya yapılandırılan etki alanları değerlendirilir ve onları bir DNS tehdit aktörüyle ilişkilendirme kriterlerini karşılamaları durumunda şüpheli veya kötü amaçlı olarak işaretlenir.
Prolific Puma’nın ortaya çıkarılması, birkaç ilgili alanı açığa çıkaran otomatik analizlerle başladı. Şirket bu yılın başında RDGA keşfi için algoritmalar uygulamaya koyduğunda, kullanılan alanlar gruplar halinde tanımlanıyordu. Başka bir algoritma, etki alanı kümelerini ilişkilendirdi ve bunları tek bir DNS tehdit aktörüne bağladı.
Infoblox’un raporu, Prolific Puma etkinliği için, daha kısa barındırma IP adresleri ve alan adlarını, yönlendirme ve açılış sayfalarını ve alan adı kayıt verilerinde bulunan bir e-posta adresini içeren bir dizi gösterge sağlıyor.