‘Oturan Ördekler saldırısı’ kullanılarak alan adlarının ele geçirilmesi, siber güvenlik camiasında yeterince tanınmayan bir konu olmaya devam ediyor. Çok az sayıda tehdit araştırmacısı bu saldırı vektörüne aşinadır ve bilgi de sınırlıdır. Ancak bu saldırıların yaygınlığı ve kuruluşlara yönelik riskleri önemlidir.
Infoblox araştırmacıları, her gün 1 milyondan fazla kayıtlı alanın saldırıya açık olabileceğini tahmin ediyor.
Oturan Ördek Saldırılarıyla ilgili daha fazla kanıt bulundu
Oturan Ördekler saldırısı sırasında, kötü niyetli aktör, DNS yapılandırmalarını ele geçirerek alanın kontrolünü ele geçirir. Siber suçlular, 2018’den beri bu vektörü on binlerce alan adını ele geçirmek için kullanıyor. Mağdur alan adları arasında tanınmış markalar, kar amacı gütmeyen kuruluşlar ve devlet kurumları yer alıyor.
Infoblox, Oturan Ördek saldırılarıyla ilgili ilk makalenin Temmuz 2024’te yayınlanmasının ardından bir izleme girişimi oluşturdu. 800.000 savunmasız alanın tespit edilmesi ve yaklaşık 70.000’inin daha sonra ele geçirildiğinin belirlenmesi nedeniyle sonuçlar çok ciddi.
Oturan Ördek Saldırılarıyla Ziyafet Eden Engerekler ve Şahinler
Boş Engerek Oturan Ördekler saldırısından yararlandığı bilinen en eski tehdit aktörlerinden biridir ve Aralık 2019’dan bu yana her yıl yaklaşık 2.500 alanı ele geçirmiştir. Bu aktör, ele geçirilen alanları, kötü amaçlı spam operasyonlarını yürütmek için 404TDS adı verilen kötü amaçlı trafik dağıtım sistemini (TDS) güçlendirmek için kullanır. porno dağıtın, uzaktan erişim truva atı (RAT) C2’leri oluşturun ve DarkGate ve AsyncRAT gibi kötü amaçlı yazılımları bırakın.
Vacant Viper, alan adlarını belirli bir marka bağlantısı için ele geçirmez, bunun yerine güvenlik satıcılarının engellemeyeceği yüksek itibara sahip alan kaynakları için ele geçirir. Yeni yayınlanan rapor, Vacant Viper’ın 404TDS’de ele geçirilen alanları nasıl kullandığı da dahil olmak üzere, 404TDS ve bağlı kuruluşları tarafından kullanılan yeniden yönlendirme tekniklerini gösteren saldırı zinciri örneklerini listeliyor.
Vextrio Engerek
Bu aktör, 2020’nin başlarından bu yana devasa TDS altyapılarının bir parçası olarak ele geçirilen alan adlarını kullanıyor. Vextrio bilinen en kapsamlı siber suçlu ortaklık programını yürütüyor ve tehlikeye atılmış web trafiğini 65’ten fazla bağlı ortağa yönlendiriyor; bunlardan bazıları kötü niyetli faaliyetleri için ‘Sitting Ducks’ aracılığıyla alan adlarını da çalmış.
Birçok bağlı kuruluş, botları ve güvenlik araştırmacılarını filtrelemek için bir Rus antibot hizmetini kullanıyor. AntiBot’un işlevselliği, IP coğrafi konumu, kullanıcı aracısı vb. temel alınarak belirli bot hizmetlerini veya kullanıcıları engellemek için kurallar belirleme yeteneğini içerir.
Felaket Şahin ve Aceleci Şahin
Şahinlerin hayvan ismi, tıpkı şahinlerin avlarını kapmak için dalmaları gibi, tehdit aktörlerinin saldırıp savunmasız alanları ele geçirmesi nedeniyle verildi. Infoblox, ele geçirilen alanlarda başarılı olan birkaç yeni aktörün adını verdi.
Korkunç Şahin: En az Şubat 2023’ten beri alan adlarını ele geçiren ve bunları yatırım dolandırıcılığı planları için kullanan bir DNS tehdit aktörü. Bu aktör ilginç çünkü ele geçirilen alan adlarını kampanyalarının her adımında kullanıyor ve var olmayan hükümet yatırım programları veya zirveleri içeren ikna edici tuzaklar hazırlıyorlar. . Ele geçirilen alan adlarını, birden fazla kıtaya yayılan 30’dan fazla dildeki kullanıcıları hedefleyen kısa ömürlü Facebook reklamlarına yerleştiriyorlar.
Aceleci Şahin: ‘Oturan Ördekler’ kaçırma olaylarıyla ilgili araştırmamız sırasında keşfedilen bir başka tehdit aktörü daha. Hasty Hawk, en az Mart 2022’den bu yana, öncelikle Ukrayna’yı desteklemek için DHL gönderi sayfalarını ve sahte bağış sitelerini taklit eden yaygın kimlik avı gerçekleştirmek üzere 200’den fazla alan adını ele geçirdi.
Aktör birçok sağlayıcıdan yararlanıyor ve genellikle ele geçirilen alanları Rus IP’lerinde içerik barındıracak şekilde yeniden yapılandırıyor. Hasty Hawk, kötü amaçlı içerik dağıtmak için Google reklamlarını ve spam mesajları gibi diğer araçları kullanıyor. Ayrıca kullanıcıları, coğrafi konumlarına ve diğer kullanıcı özelliklerine bağlı olarak içerik ve dil bakımından farklılık gösteren farklı web sayfalarına yönlendirmek için bir TDS kullanırlar. Hasty Hawk, etki alanlarından bazılarını çeşitli kampanya temaları arasında değiştiriyor.