Palo Alto Networks Birim 42’nin yeni bulgularına göre, büyük ölçekli, devam eden bir smishing kampanyasının arkasındaki tehdit aktörlerinin, 1 Ocak 2024’ten bu yana dünya çapında geniş bir hizmet yelpazesini hedef alan 194.000’den fazla kötü amaçlı alan adı ile ilişkilendirildiği belirtiliyor.
Güvenlik araştırmacıları Reethika Ramesh, Zhanhao Chen, Daiping Liu, Chi-Wei Liu, Shehroze Farooqi ve Moe Ghasemisharif, “Bu alan adları Hong Kong merkezli bir kayıt şirketi aracılığıyla kayıtlı olmasına ve Çin ad sunucularını kullanmasına rağmen, saldırı altyapısı öncelikle popüler ABD bulut hizmetlerinde barındırılıyor” dedi.
Faaliyet, Çin bağlantılı bir gruba atfedildi. Gülen ÜçlüKullanıcıları anında harekete geçmeleri ve hassas bilgiler sağlamaları için kandırmak amacıyla mobil cihazları sahte ücret ihlali ve paket yanlış teslimat bildirimleriyle doldurduğu biliniyor.
The Wall Street Journal’ın yakın tarihli bir raporuna göre, bu kampanyaların kazançlı olduğu kanıtlandı ve tehdit aktörlerinin son üç yılda 1 milyar dolardan fazla para kazanmasına olanak tanıdı.
Bu haftanın başlarında yayınlanan bir raporda Fortra, Smishing Triad ile ilişkili kimlik avı kitlerinin, bankacılık kimlik bilgilerini ve kimlik doğrulama kodlarını elde etmek için aracı kurum hesaplarını giderek daha fazla hedeflemek için kullanıldığını ve bu hesapları hedef alan saldırıların, 2025’in ikinci çeyreğinde geçen yılın aynı dönemine kıyasla beş kat artışa tanık olduğunu söyledi.
Güvenlik araştırmacısı Alexis Ober, “Saldırganlar bir kez ele geçirildikten sonra ‘rampala ve boşalt’ taktiklerini kullanarak borsa fiyatlarını manipüle ediyor” dedi. “Bu yöntemler neredeyse hiçbir kağıt izi bırakmıyor ve bu tehditten kaynaklanan mali riskleri daha da artırıyor.”
Düşman ekibinin, özel bir kimlik avı kiti tedarikçisinden, her biri hizmet olarak kimlik avı (PhaaS) ekosisteminde önemli bir rol oynayan farklı tehdit aktörlerini bir araya getiren “son derece aktif bir topluluğa” dönüştüğü söyleniyor.
Bu, kimlik avı kiti geliştiricilerini, veri aracılarını (hedef telefon numaralarını satan), alan adı satıcılarını (kimlik avı sitelerini barındırmak için tek kullanımlık alan adlarını kaydeden), barındırma sağlayıcılarını (sunucuları sağlayan), spam gönderenleri (mesajları kurbanlara geniş ölçekte ileten), canlılık tarayıcılarını (telefon numaralarını doğrulayan) ve engellenenler listesi tarayıcılarını (rotasyon için bilinen engellenenler listelerine karşı kimlik avı alan adlarını kontrol eden) içerir.
 |
| Smishing Triad’ın PhaaS ekosistemi |
Unit 42’nin analizi, 136.933 kök alan adından yaklaşık 93.200’ünün (%68,06) Hong Kong merkezli bir kayıt şirketi olan Dominet (HK) Limited altında kayıtlı olduğunu ortaya çıkardı. Son üç ayda “gov” alan adlarının kayıtlarında artış olmasına rağmen “com” ön ekine sahip alan adları önemli bir çoğunluk oluşturuyor.
Tanımlanan alan adlarından 39.964’ü (%29,19) iki gün veya daha kısa süre boyunca aktifti, %71,3’ü bir haftadan daha az süreyle aktifti, %82,6’sı iki hafta veya daha az süreyle aktifti ve %6’dan azının kayıtlarının ilk üç ayını aşan bir ömrü vardı.
Siber güvenlik şirketi, “Bu hızlı değişim, kampanyanın stratejisinin tespitten kaçınmak için sürekli yeni kayıtlı alan adları döngüsüne dayandığını açıkça gösteriyor” dedi ve çözümlemede kullanılan 194.345 tam nitelikli alan adını (FQDN), çoğu ABD’de bulunan ve Cloudflare (AS13335) üzerinde barındırılan 43.494 kadar benzersiz IP adresine ekledi.
Altyapı analizinin diğer göze çarpan yönlerinden bazıları şunlardır:
- ABD Posta Servisi (USPS), 28.045 FQDN ile en çok taklit edilen hizmettir.
- Ücretli hizmet tuzaklarını kullanan kampanyalar, yaklaşık 90.000 özel kimlik avı FQDN’si ile en çok taklit edilen kategoridir.
- En büyük trafik hacmini oluşturan alan adlarının saldırı altyapısı ABD’de yer alırken, onu Çin ve Singapur takip ediyor.
- Kampanyalar Rusya, Polonya ve Litvanya’daki bankaları, kripto para borsalarını, posta ve dağıtım hizmetlerini, polis güçlerini, devlete ait işletmeleri, elektronik geçiş ücretlerini, araç paylaşımı uygulamalarını, konaklama hizmetlerini, sosyal medyayı ve e-ticaret platformlarını taklit etti.
Devlet hizmetlerini taklit eden kimlik avı kampanyalarında, kullanıcılar genellikle ödenmemiş geçiş ücreti ve diğer hizmet ücretlerini talep eden açılış sayfalarına yönlendiriliyor; hatta bazı durumlarda, CAPTCHA kontrolünü tamamlama bahanesiyle onları kötü amaçlı kod çalıştırmaları için kandırmak amacıyla ClickFix tuzaklarından yararlanılıyor.
Birim 42, “ABD ücretli hizmetlerini taklit eden cezalandırma kampanyası münferit değil” dedi. “Bunun yerine, farklı sektörlerdeki birçok hizmeti taklit eden, küresel erişime sahip büyük ölçekli bir kampanya. Tehdit son derece merkezi olmayan bir yapıya sahip. Saldırganlar her gün binlerce alan adına kaydoluyor ve bunları kullanıyor.”