Son zamanlarda yapılan bir çalışmada, bilgisayar korsanlarının artık kötü niyetli faaliyetlerini normal çevrimiçi trafik içinde gizlemek için meşru internet hizmetlerini kullandıkları bulundu.
“İnternet trafiği korsanlığı” olarak adlandırılan bu taktik, siber suçlular hassas verileri çalar ve uzun süre tespit edilemez durumda kalır.
Recorded Future’dan Insikt Group’un raporuna göre, gelişmiş kalıcı tehdit (APT) grupları internet trafiği korsanlığında başı çekiyor ve hatta daha az gelişmiş saldırganlar yakalanıyor.
Araştırmacılar, 400’den fazla farklı kötü amaçlı yazılım ailesinin kapsamlı bir analizini takiben, siber suçluların internet trafiğini hackleme kampanyalarını yürütürken kullandıkları metodolojilere ilişkin ilginç bilgiler ortaya çıkardı.
Tüm internet trafiği korsanlığı operasyonu meşru internet hizmetleri (LIS) üzerinde gelişiyor — %25’i kurulumlarının bir parçası olarak LIS kullanıyor ve %68,5’i farklı amaçlar için birden fazla LIS platformu kullanıyor.
İnternet trafiği korsanlığı: Meşru İnternet hizmetlerinden (LIS) yararlanma
İnternet trafiğini hackleme saldırıları gerçekleştiren bu tehdit aktörleri arasında, bilgi hırsızları gibi veri çalma konusunda uzmanlaşmış olanlar, vakaların %37’sini oluşturarak LIS’i kullanma olasılığı en yüksek olanlar oldu.
LIS’in bu şekilde tercih edilmesinin nedeni, asıl hedeflerinin karmaşık altyapı gerektirmeyen ve daha az yetenekli saldırganlar için kurulumu daha kolay olan verileri çalmak olmasıdır.
LIS’in kullanımı, her biri farklı kötü amaçlı yazılım türlerinin özel gereksinimlerine göre uyarlanmış dört farklı şemada gelir.
Örneğin, LIS kullanan bilgi hırsızları bunu çoğunlukla veri hırsızlığı için yaparken (%72), birçok yükleyici (%71) LIS’yi kötü niyetli yüklerini iletmek için kullanıyor.
Saldırganların tercih ettiği LIS platformlarının türlerini inceleyen araştırmacılar, Google Drive gibi bulut depolama hizmetlerinin en yaygın şekilde istismar edildiğini ve 43 kötü amaçlı yazılım ailesinin dahil olduğunu buldu.
Telegram ve Discord gibi mesajlaşma uygulamaları da, sırasıyla 30 ve 14 kötü amaçlı yazılım ailesi tarafından yaygın olarak kullanıldı.
Telegram, mesajlaşma platformları arasında LIS kötüye kullanımı için en önemli hedef oldu ve vakaların %66,7’sini oluştururken, Discord %27,8’di.
Özellikle, konu Telegram (%87,5) ve Discord’u (%80) kötüye kullanma söz konusu olduğunda ana suçlu bilgi hırsızlarıydı.
Kesin rakamlara ulaşmak zor olsa da, internet trafiği korsanlığının siber tehditlerde daha yaygın hale geldiğine dair işaretler var.
Bu taktiklerin yerleşik kötü amaçlı yazılım grupları tarafından kademeli olarak benimsenmesi, LIS’in daha yeni türler tarafından artan kullanımı ve APT grubu stratejilerindeki hızlı yenilikler, tümü internet trafiği korsanlığında bir artışa işaret ediyor.
İnternet trafiği korsanlığını analiz etme: Bilgisayar korsanları farklı LIS korsanlığı stratejilerini nasıl kullanır?
Araştırmacılar, saldırganların LIS’i (Meşru İnternet Hizmetleri) istismar etmelerini ve internet trafiğini hackleme saldırılarını gerçekleştirmelerini araştırırken, hibrit metodolojiler oluşturmak için sıklıkla birbirine karışan dört ana stratejik kategori belirlediler.
Bu yaklaşım, bilgisayar korsanı gruplarının tespit edilmesini engellemelerine ve yasal internet hizmeti sağlayıcılarının arkasına saklanarak planlarını gerçekleştirmelerine yardımcı olur.
Bu kategoriler, saldırganlar ve kötü amaçlı yazılımlar arasındaki iletişim için GitHub veya Mastodon gibi aracı platformların kullanımını içeren eksiksiz C2 (Komuta ve Kontrol) taktiklerini kapsar.
Geleneksel istihbarat uygulamalarını anımsatan Ölü Bırakma Çözümleme (DDR) teknikleri, kötü amaçlı yazılımın genellikle şifreleme ve kodlama yoluyla gizlenen bir web hizmetinden C2 sunucu adresini almasını gerektirir.
Ek olarak, yük teslimi, bulut depolama platformları ve mesajlaşma uygulamaları gibi bu hizmetlerin erişilebilirliğinden ve geniş çapta benimsenmesinden yararlanarak kötü amaçlı yükleri dağıtmak için LIS’den yararlanır.
Son olarak LIS, hassas bilgileri yasa dışı bir şekilde iletmek için herkesin erişebileceği API’ler ve e-posta hizmetleri dahil olmak üzere veri yazma yeteneklerine sahip hizmetleri kullanan saldırganlarla veri hırsızlığı için de kullanılır.
Medya Sorumluluk Reddi: Bu rapor, çeşitli yollarla elde edilen şirket içi ve şirket dışı araştırmalara dayanmaktadır. Sağlanan bilgiler yalnızca referans amaçlıdır ve kullanıcılar, bu bilgilere güvendikleri için tüm sorumluluğu üstlenirler. bu Siber Express, bu bilgilerin kullanılmasının doğruluğu veya sonuçları için hiçbir sorumluluk kabul etmez.