Tehdit aktörleri, Superblack Fidye Yazılım Operatörlerinden gelen kampanyalar, hacklenen WordPress aracılığıyla Android kötü amaçlı yazılım dağıtımı, Xworm ve Strela Stealer kullanarak hedeflenen saldırılar ve Chang yol teknolojilerine potansiyel bağlantılar da dahil olmak üzere, kötü niyetli etkinlikler için kurşun geçirmez barındırma hizmeti Proton66’dan yararlanıyor.
Trustwave’s SpiderLabs’taki siber güvenlik uzmanları, Proton66 olarak bilinen bir Rus “kurşun geçirmez” barındırma sağlayıcısından kaynaklanan kötü niyetli çevrimiçi faaliyetlerde bir artış keşfetti. Rahat politikaları nedeniyle genellikle siber suçlular tarafından tercih edilen bu hizmetler, 8 Ocak 2025’ten beri dünya çapında organizasyonları hedefleyen bir saldırı dalgasına bağlanmıştır.
Araştırmacılar bulgularını iki bölümlük bir dizide detaylandırdılar. İlk bölüm, Proton66’nın ağından gelen “kütle taraması, kimlik bilgisi kaba zorlama ve sömürü girişimlerinde” büyük bir artışı vurgulamaktadır (ASN 198953). Bu, saldırganların sistemlerdeki zayıflıkları aktif olarak araştırdıkları ve giriş bilgilerini büyük ölçekte tahmin etmeye çalıştıkları anlamına geliyor.
SpiderLabs ayrıca 8 Ocak 2025’ten itibaren Proton66’nın ağından trafiği taramada ve sömürmede bir artış olduğunu ve Şubat ayında keskin bir düşüş olduğunu fark etti. Saldırılar belirli ağ bloklarını hedefledi, en aktif varlık 45.135.232.0/24 Ve 45.140.17.0/24bazıları önemli bir süre için aktif değilken, rapor edilen son kötü niyetli etkinlik Temmuz ve Kasım 2021’e kadar uzanmıştır.
Özellikle, adres 193.143.1.65Superblack adlı yeni bir fidye yazılımı suşunun operatörlerine bağlı gözlendi ve operatörleri blog yazısında “en son kritik öncelikli istismarlardan bazılarını” dağıtıyorlardı.
İkinci bölümde, Android kullanıcılarını bilgilerini çalması veya kötü amaçlı uygulamalar yüklemesi muhtemel Google Play mağaza sayfalarını sahte olarak yönlendiren tehlikeye atılan WordPress web siteleri de dahil olmak üzere Proton66 ile bağlantılı kötü amaçlı yazılım kampanyalarını tartışmaktadır.
Kullanılan alan adlandırma kuralları, İngilizce konuşan hedefleri önerir (“us-playmarket.com“), Fransızca (“playstors-france.com“), İspanyolca (“updatestore-spain.com“) Ve Yunanca (“playstors-gr.com“).
SpiderLabs ayrıca Ocak ve Şubat 2025 arasında hedeflenen sistemlerden e-posta giriş bilgilerini çıkaran bir bilgi çalma aracı olan Strela Stealer’ı dağıtan operatörleri keşfetti.
Başka bir kampanya, Koreli konuşan sohbet odalarının kullanıcılarını hedefleyen Xworm kötü amaçlı yazılım içeriyordu. Ayrıca, dosyaları şifreleyen ve kurtarma için bir fidye talep eden Mallox’un değiştirilmiş bir sürümü olan Weaxor fidye yazılımına bağlantılar tespit edildi. Rapor sırasında Weaxor Grubu “BTC veya USDT’de aktarılan 2.000 dolar” istiyordu.
İlginç bir şekilde, SpiderLabs’ın soruşturması, Proton66 ve Hong Kong merkezli şirket Chang Way Technologies Co. Limited arasında potansiyel bir yeniden markalama veya bağlantıyı ortaya koyuyor. Kasım 2024’te Güvenlik Firması Intrins, Proton66 ve Prospero’yu yeraltı forumlarında yeraltı ve Bearhost olarak reklamı yapılan kurşun geçirmez barındırma hizmetlerine bağladı.
SpiderLabs’ın soruşturması, yeraltı/Bearhost müşterileri için Rus kontrol panelinin şu adreste kaldığını ortaya koydu. my.31337.ru, my.31337.hk Sayfa bir “Changway / Hostway” temasıyla güncellendi. Yine de, altyapılar arasındaki teknik bağlantılar kaldı ve altta yatan bir bağlantı olduğunu düşündürdü.
Teknoloji ve finans kuruluşları bu kampanyanın en önemli hedefleridir. Ancak, Superblack Fidye Yazılımı Grubu kar amacı gütmeyen kuruluşları, mühendisliği ve finans sektörlerini hedeflemeyi tercih etti. Forescout tarafından yapılan araştırmalar, bu IP adresini Fortinet Fortios cihazlarındaki güvenlik açıklarından yararlanan ve Superblack Fidye yazılımlarının konuşlandırılmasına yol açan MORA_001 Tehdit Oyuncusu’na bağladı.
Bilgisayar korsanlarının Palo Alto Networks’ün PAN-OS yazılımında (CVE-2025-0108), Mitel Micollab (CVE-2024-41713) ve D-Link NAS cihazlarında (CVE-2014-10914) güvenlik açıklarından yararlandığını belirtmek gerekir. D-Link, etkilenen cihazların ömrünün sonlarına ulaştığını açıkladı, bu nedenle güvenlik güncellemesi sağlanmayacak.
Bununla birlikte, araştırmacılar, kuruluşların kendilerini potansiyel uzlaşmadan korumak için hem Proton66 hem de Chang Way teknolojileriyle ilişkili tüm İnternet adres aralıklarını engellemelerini şiddetle tavsiye ediyorlar.
Kalabal kaynaklı siber güvenlik alanında Kaliforniya merkezli San Francisco merkezli bir lider olan Bugcrowd baş bilgi güvenlik görevlisi Trey Ford, IPS, tehdit aktörlerinin güvenilir göstergeleri olmasa da, tarama kaynaklarını değiştirmek ucuz olduğundan, tutarlı Brute-Force girişimleri gibi kalıpların hala önemli olduğunu belirtti. “Giriş hızını izlemek, maruz kalan hizmetleri sertleştirmek ve düşük çaba aktörleri için saldırıları pahalı hale getirmek için bir hatırlatma” dedi.