Infoblox Threat Intel’in yakın zamanda yayınladığı yeni bir raporda, 1 milyondan fazla kayıtlı alan adının “Oturan Ördekler” olarak bilinen bir siber saldırı yöntemine karşı savunmasız olabileceği belirtiliyor.
Nispeten bilinmeyen bu saldırı vektörü, kötü niyetli aktörlerin, DNS ayarlarındaki yanlış yapılandırmalardan yararlanarak meşru alanları ele geçirmesine olanak tanır.
2018 yılından bu yana aktif olan Sitting Ducks saldırısı, tehdit aktörlerinin bir alanın DNS yapılandırmalarını ele geçirerek tam kontrolünü ele geçirmesine olanak tanıyor.
Infoblox’un izleme girişimi yaklaşık 800.000 savunmasız alan tespit etti ve bunların yaklaşık 70.000’i halihazırda ele geçirilmiş durumda.
Siber Güvenlik Yatırım Getirisini En Üst Düzeye Çıkarma: KOBİ ve MSP Liderleri için Uzman İpuçları – Ücretsiz Web Seminerine Katılın
Tehdit Grupları
Birçok tehdit grubu grubu bu saldırı vektöründen yararlanıyor:
- Boş Engerek: Aralık 2019’dan beri aktif ve 404TDS adı verilen kötü amaçlı trafik dağıtım sistemini güçlendirmek için yılda yaklaşık 2.500 alan adını ele geçiriyor.
- Vextrio Engerek: 2020’nin başlarından beri faaliyet gösteriyor ve ele geçirilen alan adlarını devasa bir trafik dağıtım sistemi altyapısının parçası olarak kullanıyor.
- Korkunç Şahin: Şubat 2023’ten beri aktif, ele geçirilen alan adlarını birden fazla dil ve kıtada yatırım dolandırıcılığı planları için kullanıyor.
- Aceleci Şahin: Mart 2022’den bu yana, başta DHL gönderi sayfaları ve sahte bağış siteleri olmak üzere kimlik avı kampanyaları için 200’den fazla alan adını ele geçirdi.
Saldırı, gizli doğası nedeniyle özellikle tehlikelidir. Ele geçirilen alan adları genellikle olumlu itibarlarını korur ve bu da güvenlik araçları tarafından tespit edilmekten kurtulmalarına olanak tanır.
Bu durum güvenlik ekiplerinin tehdidi tanımlamasını ve azaltmasını zorlaştırıyor. Oturan Ördekler saldırılarının etkisi geniş kapsamlı olup kuruluşları, bireyleri ve güvenlik ekiplerini etkilemektedir.
İşletmeler itibar kaybıyla karşı karşıya kalırken bireyler de kötü amaçlı yazılım bulaşması, kimlik bilgileri hırsızlığı ve dolandırıcılık riskiyle karşı karşıya kalıyor.
Güvenlik ekipleri, kötü amaçlı altyapılarda güvenilir alanların kullanılması nedeniyle bu saldırılara karşı savunma yapmakta zorlanıyor.
Sitting Ducks saldırılarına karşı koruma sağlamak için alan sahipleri, kayıt şirketleri ve DNS sağlayıcıları doğru yapılandırmaları sağlamalı ve uygun sahiplik doğrulama süreçlerini uygulamalıdır.
Siber güvenlik topluluğu içinde artan farkındalık ve uyanıklık, bu büyüyen tehdide karşı koymak için çok önemlidir.
SOC/DFIR Ekiplerinden misiniz? – ANY.RUN ile Kötü Amaçlı Yazılım Dosyalarını ve Bağlantılarını Analiz Edin -> Ücretsiz Deneyin