Pakistan Tehdit Oyuncuları, Info-Duruşan Kötü Yazılımları Dağıtmak İçin 300’den fazla çatlama sitesi yarattı

IntrinSec tarafından yakın zamanda yapılan derinlemesine bir soruşturma, Info-Didinger kötü amaçlı yazılımları dağıtmak için tasarlanmış Pakistanlı serbest çalışanlar tarafından düzenlenen 300’den fazla çatlak web sitesinden oluşan genişleyen bir ağa maruz kaldı.

Genellikle çatlak yazılımlar için meşru kaynaklar olarak görünen bu siteler, toprağa uzlaşmalar için birincil vektör olarak tanımlanmış ve dünya çapında çok sayıda kurumsal müşteriyi etkilemektedir.

Geniş bir kötü niyetli altyapı ağını tanıtmak

Analiz, Web geliştirme ve dijital reklamcılık konusunda uzmanlaşmış Pakistanlı bireylerin, genellikle kötü kriptbot kötü amaçlı yazılım işlemini anımsatan bir install ödeme (PPI) modelini takiben bu kötü niyetli platformları oluşturdukları ve tanıttığı sofistike bir siber suç ekosistemini ortaya koymaktadır.

Bu model, her başarılı kötü amaçlı yazılım kurulumu için aktörleri telafi ederek finansal kazancı teşvik ederek görünüşte ücretsiz yazılım indiren şüphesiz kullanıcıları kullanır.

Teknik temelleri araştıran soruşturma, enfeksiyonların kökenlerini Kmspico gibi alanlara kadar takip etti[.]IO, 45.12.1 gibi IP aralıklarında barındırıldı[.]24 Sanal Systems LLC altında.

Bu göstergeleri döndüren araştırmacılar, diğer kötü niyetli IP’lere bağlanan ortak openssh pankartlarını ortaya çıkardılar, özellikle 45.12.1[.]30, çoklu çatlama alanlarıyla ilişkili.

Altyapı hakkında teknik bilgiler

Önemli bir bulgu, Filesscrack’tan adlandırıcıların kullanılmasıydı[.]Com, 2021’den beri aktif, Eylül 2024 itibariyle 300’den fazla web sitesini destekledi.

Buna ek olarak, AS57717’ye bağlı ve Pakistan’ın Lahore kentinde bulunan 24xService’in barındırma sağlayıcısı bir IP aralığına ev sahipliği yaptığı bulundu (185.216.143[.]0/24) Neredeyse sadece bu kötü niyetli sitelere adanmıştır.

Whois, nominal e -posta adreslerini, bazıları 2023’ten beri yasadışı faaliyetlerden meşru girişimlere geçiş yapan ve siber suç rollerinin akışkan doğasını vurgulayan Pakistanlı serbest çalışanların gerçek kimliklerine bağlı.

Rapor ayrıca Installpp gibi PPI hizmetleriyle olan bağları da ortaya çıkardı[.]Komisyonların kurban demografik özelliklerine göre kazanıldığı ve dağıtım ölçeğini artırdığı com.

Jeopolitik olarak, durum ABD ve AB ile yapılan iade anlaşmalarının yanı sıra Pakistan’ın Çin ve Rusya ile büyüyen siber ittifakları tarafından birleşiyor.

Bu yasal boşluk, geçici rahatlama sunan sunucu nöbetlerine rağmen, bu tehdit aktörlerinin kovuşturulmasını neredeyse imkansız hale getiriyor.

Pakistan’ın Çin ile siber güvenlik işbirliği, istihbarat paylaşımı ve acil müdahaleye odaklanarak, küresel çatışmalardaki tarafsız duruşunun yanı sıra, ulusal çıkarları hedeflemezlerse bu tür siber faaliyetlere yönelik potansiyel bir hoşgörü önermektedir.

Bu karmaşık teknik altyapı ağı ve jeopolitik dinamikler, yeni alanlar ve sunucular, düşüş sonrası hızla yeniden inşa edildiğinden, bu tür ağların sökülmesinin sürekli zorluğunun altını çiziyor.

Bu stealerlar yoluyla hasat edilen tehlikeye atılan kimlik bilgileri karanlık web pazarlarında satıldığından, fidye yazılımı veya sıçanlar aracılığıyla casusluk gibi daha fazla saldırı kolaylaştırdığı için sonuçlar şiddetlidir.

Intrinsec’in analizi, enfeksiyon sonrası öldürme zincirlerine (daha önce CryptBot ve Lumma çalışmalarıyla kapsanan) girmese de, web sitesi oluşturma ve kötü amaçlı yazılım dağılımının farklı henüz birbirine bağlı roller olduğu siber suçların yukarı akış bölümlemesini vurgulamaktadır.

Kuruluşlar, sağlanan uzlaşma göstergelerinin (IOC’ler) kapsamlı bir listesini engellemeleri, kimlik avı ve çatlak yazılım kullanımına karşı çalışan eğitimini geliştirmeleri ve riskleri azaltmak için MFA ve ağ izleme gibi sağlam güvenlik önlemlerini uygulamaları istenir.

Uzlaşma Göstergeleri (IOCS)

Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin