Hızlı akı DNS kötüye kullanımı kolay tespitten kaçınır

Siber suç, sahtekarlık yönetimi ve siber suç, olay ve ihlal yanıtı

Ayrıca: GoOtLoader kötü amaçlı yazılım, GCHQ stajyeri suçlu, kontrol noktası ihlali güncellemesini kontrol ediyor

Anviksha More (Anvikshamore) •
3 Nisan 2025

ISMG her hafta dünyanın dört bir yanındaki siber güvenlik olaylarını ve ihlallerini tamamlıyor. Bu hafta, “hızlı akı” uyarısı, gootloader kötü amaçlı yazılım, bir GCHQ stajyeri, çok gizli verileri çalmak ve kontrol noktası hack iddiasını engellemekten suçlu bulundu. Ayrıca Google, bazı Gmail kullanıcıları için uçtan uca şifreleme başlattı, Apple geri portalı yamalar ve Hollandalı savcılar internet erişimini kesti.

Ayrıca bakınız: Dijital adli tıp ve olay yanıtı için Gartner Rehberi

İngilizce konuşan ülkelerin beş göz zekası ittifakını oluşturan siber ajanslar, ulus-devlet ve siber suçlular, kötü niyetli altyapının esnekliğini desteklemek için içerik dağıtım ağı benzeri teknikleri benimsedi.

Perşembe danışmanlığında, ajanslar meşru CDN trafiğinden “hızlı akı” adı verilen bir tekniğin kötü niyetli kullanımının sıralanmasının devam eden bir zorluk olmaya devam ettiğini kabul ediyor.

Teknik, bilgisayar korsanlarının komut ve kontrol olarak kullanılan tek bir kötü niyetli alanı birden çok IP adresine bağlamasına olanak tanır. Siber savunucular ağ erişimini bir IP adresine engellerse, etki alanı adı sistemi etki alanını çözmek için başka bir IP adresi kullanır. “Çift akı” olarak bilinen bir gelişmede, bilgisayar korsanları da DNS sunucularını sık sık döndürür ve “kötü niyetli alanlar için ek bir fazlalık ve anonimlik katmanı” sağlar.

Ajanslar, tek bir alan için dönen IP adreslerini algılayabilen DNS sorguları için anomali algılama sistemlerinin uygulanması gibi karşı önlemler önerir. “Hızlı akı alanları, günde on veya yüzlerce IP adresi olsa sık sık bisiklet sürecektir.” Tutarsız IP adresi coğrafi konumu başka bir anlatımdır.

GOOTLoader kötü amaçlı yazılımların arkasındaki saldırganlar, yasal şablonları arayan kullanıcıları hedefleyerek Infosting yüklerini dağıtmak için Google reklamlarını kullanıyor. “Gootloader” takma adına sahip bir güvenlik araştırmacısı – kötü amaçlı yazılımla aynı – İngiltere merkezli Med Medya Grubu’ndan yerleştirilen reklamları buldu, kurbanları kötü niyetli bir siteye yönlendiriyor, lawliner.com.

GOOTLoader kötü amaçlı yazılım, daha önce hukuk profesyonellerini enfekte olmuş WordPress sitelerine cezbetmek için SEO zehirlenmesine dayanıyordu. Saldırganlar şimdi kendi altyapılarını kurdular ve alan adlarını Cloudflare aracılığıyla kaydettirdiler. Kullanıcılar kötü amaçlı bir reklamı tıkladıklarında, e -postalarını girmeleri ve bir belge bağlantısı almaları istenir. lawyer@skhm.org. İzinsiz bir sözleşme olarak gizlenen indirilen dosya, yürütüldüğünde gootloader yükleyen fermuarlı bir JavaScript dosyası içerir.

Zamanlanmış bir görev oluşturur, PowerShell’i sistem verilerini toplamak için çalıştırır ve bazıları Rus komut ve kontrol sunucusuna ileten saldırgan kontrollü alanlara gönderir.

2014 yılından bu yana aktif olan Gootloader, veri hırsızlığı için kullanılır ve genellikle fidye yazılımı saldırılarından önce gelir. Öncelikle hukuk firmalarını hedeflerken, grup daha önce Avustralya’daki Bengal Cat meraklıları da dahil olmak üzere diğer kurbanlara karşı SEO zehirlenmesi kullanmıştı.

BBC, İngiliz İstihbarat Ajansı Hükümet İletişim Genel Merkezi’ndeki 25 yaşındaki bir öğrencinin, yasadışı olarak gizli bilgileri eve götürmekten suçlu bulunduğunu bildirdi. Hasaan Arshad, Londra’nın Old Bailey’sinde 24 Ağustos 2022’de telefonunu güvenli bir GCHQ alanına kaçırdı, personel isimleri de dahil olmak üzere en iyi gizli verileri indirdiğini ve evde sabit bir sürücüye aktardığını itiraf etti.

Savcılar, Arshad’ın bir yıl süren yerleşiminin sona ermesinden sadece iki gün önce son derece değerli bir istihbarat aracı çaldığını söylüyor. Müfettişler daha sonra o ay, 2023’te suçlu olduğunu iddia ettiği bir çocuğun iki uygunsuz görüntüsü yarattığını buldular. Telefonla ilgili tartışmalar, meraktan hareket ettiğini iddia ederek finansal güdüleri reddetmesine rağmen, “böcek ödülleri” ve sızdırılan veriler için ödemeler atıfta bulundu.

Avukatı, suçun kötü niyetli değil, pervasız olduğunu savundu. Şu anda kefaletle serbest bırakılan Arshad, Darkweb’e erişmesi yasaklandı. Mahkeme, 13 Haziran’da potansiyel bir hapis cezasına çarptırıldı.

Check Point, siber güvenlik firmasının büyük bir ihlal yaşadığı “CoreInjection” dan bir bilgisayar korsanından gelen iddiaları reddetmeye devam etti. Pazar günü CoreInjection Hacking Forum BreachForums’da yayın yayınladı ve İsrail Siber Güvenlik Firması’ndan çalındığı iddia edilen dahili ağ haritaları, kullanıcı kimlik bilgileri ve özel kaynak kodu dahil olmak üzere veri satma teklifi. Check Point, müşterilerin sistemlerini, üretimini veya güvenlik mimarisini içermeyen birkaç kuruluş ve portal içeren “eski, bilinen ve çok tespit edilmiş bir olay” olarak iddiayı hızlandırdı (bakınız: bkz: bkz: Kontrol noktası ihlali ‘çok tespit edilen olay’).

CoreInjection, Salı günü 18.000’den fazla kullanıcının hassas bilgilerini çaldığını ve görünüşe göre Point Infinity Portal adını kontrol etmek için bağlı yeni bir e -posta örneği olduğunu ileri sürdü.

“Gönderideki bilgilerin hiçbiri kontrol noktasından sızdırılmadı. Hepsi muhtemelen bireylerin cihazlarındaki infostalers tarafından zamanla toplandı.” Infinity portalına giriş yapmanın çok faktörlü kimlik doğrulaması gerektirdiğini, şirket de vurguladı. CoreInjection tarafından çevrimiçi olarak yayınlanan iddia edilen bir ihlal bildirimini eşit derecede küçümsüyordu.

Şirket, “Bunun, var olmayan bir kontrol noktası hesabından, hiç gerçekleşmeyen bir ihlali açıklayan, gizlilik uygulamalarını ihlal eden, yukarıda açıklanan e-posta yığınından alınan e-postaları kullanarak, hatta yazım kontrol noktasının adını yanlış yazarak sahte bir e-posta olduğunu görebilir.” Dedi.

Google, Gmail Enterprise kullanıcıları için uçtan uca şifrelemeyi tanıttı ve şifreli e-postaların karmaşık sertifika gereksinimleri olmadan herhangi bir alıcıya gönderilmesini sağladı. Sertifika dağıtım ve değişim gerektiren güvenli/çok amaçlı internet posta uzantılarının aksine, Gmail’in E2EE’si hem BT ekipleri hem de son kullanıcılar için şifrelemeyi basitleştirir.

Aşamalı sunum, aynı kuruluştaki şifreli e -postalarla başlar ve önümüzdeki haftalarda tüm Gmail gelen kutularına ve bu yıl diğer e -posta platformlarına genişler. Kullanıcılar “Ek Şifreleme” seçeneğiyle şifrelemeyi etkinleştirebilir ve kurumsal veya kişisel hesaplara sahip Gmail alıcıları, mesajların otomatik olarak şifrelendiğini görür. Gmail olmayan kullanıcılara erişim mesajları için güvenli bir bağlantı alacaktır.

Google’ın istemci tarafı şifrelemesi ile güçlendirilen bu model, kuruluşların şifreleme anahtarlarını Google’ın sunucularının dışında saklamasına olanak tanır. Gmail CSE, Google Drive, DOCS ve diğer çalışma alanı hizmetleri için daha önceki bir beta lansmanının ardından 2023’ten beri kurumsal ve eğitim müşterileri için mevcuttur.

Apple, eski iOS, iPados ve macOS sürümlerine aktif olarak sömürülen üç güvenlik açıkları için düzeltmeler yaptı. Birincisi, CVE-2025-24200, adli araçların kilitli cihazlarda USB kısıtlı modu atlamasını sağladı. İkinci, CVE-2025-24201, Webkit Sandbox’ın son derece sofistike saldırılarda kaçtığını etkinleştirdi. Her ikisi de şimdi iOS 16.7.11, 15.8.4 ve eşdeğer iPados sürümlerinde yamalı.

Üçüncü kusur olan CVE-2025-24085, bir çekirdek medya ayrıcalığı artış hatası, başlangıçta Ocak ayında sabitlendi ve şimdi IPados 17.7.6, MacOS Sonoma 14.7.5 ve Ventura 13.7.5’te yamalı.

Backports’ın yanı sıra Apple, en son işletim sistemi sürümleri için güvenlik güncellemeleri yayınladı. iOS ve iPados 18.4 Adres 77 Kusurlar, Kök ayrıcalık artış CVE-2025-30456 dahil. MacOS Sequoia 15.4 Çekirdek seviyesi keyfi kod yürütme kusuru dahil 123 güvenlik açığı-CVE-2025-24228. Safari 18.4 13 Webkit sorununu çözdü.

Hollanda Kamu Savcılığı Servisi, potansiyel bir BT güvenlik olayı nedeniyle Cuma günü internetten koptu. Bir kriz yönetim ekibi durumu araştırıyor. Bu eylem, e -posta iletişimi ve dijital vaka dosyalarına erişme zorlukları da dahil olmak üzere yargı süreçlerini engelleyen hizmette uzun süreli BT sorunlarının raporlarını takip eder. Adalet ve Güvenlik Bakanlığı soruşturmanın ilerlemesini izliyor. Yetkililer olayın doğasını açıklamamıştır. Şu an itibariyle, bakanlık içindeki diğer kuruluşların etkilendiğine dair herhangi bir gösterge yoktur.

Geçen haftadan diğer hikayeler

Washington DC’deki Information Güvenlik Medya Grubu’nun David Perera tarafından raporlanmasıyla