Güvenlik araştırmacıları, Qwins Ltd. tarafından işletilen güvenilir bir barındırma şirketi keşfetmiş olabilir, bu da Lumma Infostealer enfeksiyonlarını standart takipten kaynaklanan son analizde çok çeşitli uluslararası kötü amaçlı yazılım operasyonlarını desteklemiş olabilir.
İstismar.ch ve any.run gibi platformlara göre sürekli olarak ilk beş kötü amaçlı yazılım ailesi arasında yer alan Lumma, analiz için bol miktarda örnek kaynağı sağladı.
15-22 Temmuz tarihleri arasında numuneler için kötüye kullanımı sorgulayarak araştırmacılar, 292 IP adresini çıkarmak için Virustotal’ın API’sı kullanılarak incelenen 100 yeni karma aldılar.
Kötü niyetli altyapı ortaya çıkarmak
Eylem edilebilir olası satışlara odaklanmak için, Cloudflare ve Akamai gibi içerik dağıtım ağlarının arkasına gizlenmiş IP’ler filtrelendi ve farklı otonom sistem numaralarında (ASNS) 10 benzersiz IP’ler bıraktı.
Bunlar arasında, Qwins Ltd’ye ait AS213702 içinde IP 141.98.6.34, infostealers, truva atları ve kimliğe bürünme alanları ile ilişkileri nedeniyle odak noktası olarak ortaya çıktı.
Ayda 2 $ ‘dan başlayan düşük maliyetli VP’ler ve özel sunucular sunan Rus tarafından işletilen bir varlık olan Qwins Ltd, Rusya, Almanya, Finlandiya, Hollanda ve Estonya gibi yerlerde bir telgraf botu aracılığıyla erişilebilen hizmetlerle altyapı konuşlandırıyor.
Kristina Konstantinova’nın ilk yönü altında, Nisan 2025 yılına kadar İngiltere’de Birleşik Krallık’ta kuruldu, şirket kalite IT Network Solutions Limited’de bir isim değişikliği yapıldı.
Araştırmacılara göre, etki alanı kaydı, önceden belirlenmiş operasyon şüphelerini artırarak bir yıla kadar kuruluşun öncülüğünü önler.
141.98.6.34’ün analizi, Haziran ayı sonlarında Brex Financial Services’i taklit eden bir kimlik avı sitesine ev sahipliği yaptığını, infostealers ve truva atları ile bağlantılı yürütülebilir ürünler, fermuarlar ve RARS dahil olmak üzere çok sayıda kötü amaçlı dosyanın yanı sıra birden fazla tehdit aktör veya koordineli bir grup tarafından kullanıldığını gösterdi.
AS213702’de kümeleme ve kötü amaçlı yazılım etkinliği
AS213702’yi tehdit aktörleri için bir merkez olarak varsayılan araştırmacılar, ASN içinde yaklaşık 2.300 ana bilgisayar tanımlamak için Censys’i kullandılar.
5554 ve 3389 bağlantı noktaları ve paylaşılan kendi kendine imzalanan sertifikalar gibi ilk IP ile eşleşen niteliklere daraltmak üç IP’lik bir küme verdi: 141.98.6.190, 141.98.6.130 ve 141.98.6.34.
Bunlar Makop, Guloader ve AgentTesla gibi kötü amaçlı yazılımlara bağlıydı, aynı anda aktif ve yükleyici ve infostealer davranışları sergiledi.
Barındırılan alan adlarına dönük olan DBeaver SQL aracını (Dbeaver.it.com ve Dbeaver-Pro.site) taklit eden siteler, Mirai, Quackbot ve Condi dahil botnetlerle ilişkili başka bir IP, 141.98.6.81’e yol açtı.
AS213702’nin ağlarının 30 günlük daha derin bir analizi, 93.123.39.0/24 (666 bağlantı noktasında DDOS ve Botnet C2’nin egemen olduğu), yaygın kötü amaçlı etkinlikleri ortaya çıkardı (141.98.6.0/24 (amadey, LUMMA, LUMMA, 95.164.5 gibi infosteksler (95.164.5. Droppers) ve 77.105.164.0/24 (C2 ve Veri Defiltrasyonu).
120’den fazla yük, kriptominerler ve Darkgate gibi uzaktan erişim truva atları da dahil olmak üzere pencereleri, linux, kolu ve MIPS mimarilerini hedefleyen botnetler (Mirai, Amadey), Truva atları (Zapchast) ve platformlar arası tehditleri kapsıyordu.
Enfeksiyon zincirleri genellikle 95.164 ağlardaki belge damlalarından başlatılan, 93.123’te yüklere yükselen, 77.105’e eksfiltration ile yapılandırılmış kötüye kullanımı gösterdi.
Kurşun geçirmez barındırma olarak kesin sınıflandırma araştırılmakta olsa da, kimlik avı, sosyal mühendislik ve çeşitli kötü amaçlı yazılımların konsantrasyonu, kötüye kullanıma toleranslı esnek bir sağlayıcıya işaret eder.
Araştırmacılar, küresel tehdit istihbaratını geliştirmek için önceki bilgileri olanlardan işbirliğini çağırarak birbirine bağlı tehditlere daha fazla prob planlıyorlar.
Find this News Interesting! Follow us on Google News, LinkedIn, & X to Get Instant Updates!