Siber güvenlik araştırmacıları, kurbanları gelişmiş DNS manipülasyon teknikleriyle istismar eden karmaşık bir dolandırıcılık operasyonu olan “Savvy Seahorse”u ortaya çıkardı.
En az Ağustos 2021’den beri aktif olan bu operasyon, finansal dolandırıcılık kampanyaları için dinamik ve anlaşılması zor bir trafik dağıtım sistemi (TDS) oluşturmak amacıyla DNS kanonik adı (CNAME) kayıtlarından yararlanarak gözden kaçırıldı.
Siber Suçlara Yeni Bir Yaklaşım
Savvy Seahorse’un kampanyaları tipik kimlik avı girişimleriniz değildir. Otomatik yanıtlar sağlayan sahte ChatGPT ve WhatsApp botlarını bir araya getirerek mağdurları yüksek getirili yatırım fırsatları kisvesi altında kişisel bilgilerini sağlamaya teşvik ediyorlar.
Bu kampanyalar, Rusça, Lehçe, İtalyanca, Almanca, Çekçe, Türkçe, Fransızca, İspanyolca ve İngilizce dahil olmak üzere çok çeşitli dilleri konuşanları hedef alırken, Ukrayna ve diğer birkaç ülkedeki potansiyel mağdurları hariç tutuyor.
Savvy Seahorse’un stratejisinin özü, Alan Adı Sisteminin (DNS) kötüye kullanılmasında yatmaktadır.
Infoblox araştırmacıları, tehdit aktörünün, CNAME kayıtlarından yararlanarak, dinamik içerik dağıtımına ve IP adresi güncellemelerine olanak tanıyan, kötü amaçlı kampanyalarının tespit edilmesini ve kapatılmasını zorlaştıran karmaşık bir TDS geliştirdiğini söyledi.
Bu teknik, Savvy Seahorse’un güvenlik endüstrisi tarafından tespit edilmekten kurtulmasını sağladı ve bu, CNAME’lerin bu tür kötü niyetli amaçlarla rapor edilen ilk kullanımına işaret ediyor.
Gelişmiş Dolandırıcılık Operasyonları
Savvy Seahorse’un operasyonları titizlikle planlanır ve yürütülür. Kampanyalar öncelikle Facebook reklamları aracılığıyla sunuluyor ve mağdurları sahte yatırım platformlarına çekiyor.
Kurbanlar oraya vardıklarında, önemli getiri vaadiyle kandırılarak hesaplarına para yatırılıyor.
Özel barındırma ve düzenli IP adresi değişikliklerinin kullanımı, kısa ömürlü bireysel kampanyalarla birleştiğinde, bu operasyonların izlenmesini ve mücadele edilmesini zorlu bir zorluk haline getiriyor.
Operasyonun altyapısı oldukça geniştir ve tek bir CNAME kaydı aracılığıyla b36cname alt alanına bağlanan yaklaşık 4,2 bin temel alan adı içerir.[.]alan.
infoblox raporuna göre, bu kurulum Savvy Seahorse’un hızlı bir şekilde bağımsız kampanyalar oluşturmasına, pasif DNS (pDNS) analizini karmaşık hale getirmesine ve tespit çabalarından kaçınmasına olanak tanıyor.
Siber Güvenlikte CNAME’in Rolü
CNAME kayıtlarının kötü amaçlarla kullanılması, siber güvenlik sektörünün DNS’nin siber suçlardaki rolüne ilişkin anlayışında önemli bir dikkatsizliğin altını çiziyor.
Bir alan adını diğerine eşleyen CNAME kayıtları, büyük ve değişken bir kötü amaçlı alan adı grubunu verimli bir şekilde yönetmek için yararlanılabilecek DNS’nin temel bir parçasıdır.
Bu teknik, Savvy Seahorse’un operasyonları hızlı bir şekilde ölçeklendirmesine ve taşımasına olanak tanıyarak siber güvenlik savunmaları için hareketli bir hedef sunar.
Çıkarımlar ve Savunma Stratejileri
Savvy Seahorse’un operasyonlarının keşfi, siber güvenlik topluluğunun siber suçlarda DNS’nin rolünü yeniden değerlendirme ihtiyacının altını çiziyor.
Siber güvenlik uzmanları, Savvy Seahorse gibi tehdit aktörlerinin kullandığı taktikleri, teknikleri ve prosedürleri anlayarak bu tür operasyonları tespit etmek ve engellemek için daha etkili stratejiler geliştirebilir.
CNAME kayıtlarının işaret ettiği temel etki alanını engellemek, bu ve benzeri operasyonların oluşturduğu tehdidi azaltmak için basit ama pratik bir yaklaşım olabilir.
Sonuç olarak, Savvy Seahorse kampanyası siber suç taktiklerinde önemli bir evrimi temsil ediyor ve DNS’yi daha önce güvenlik endüstrisi tarafından tanınmayan şekillerde kullanıyor.
Siber güvenlik uzmanları bu karmaşık tehditlere karşı koymak için çalışırken, siber güvenlik stratejilerinde sürekli araştırma ve uyarlamanın önemi hiç bu kadar belirgin olmamıştı.
Truva atları, fidye yazılımları, casus yazılımlar, rootkitler, solucanlar ve sıfır gün açıklarından yararlanmalar dahil olmak üzere kötü amaçlı yazılımları engelleyebilirsiniz. Perimeter81 kötü amaçlı yazılım koruması. Hepsi son derece zararlıdır, hasara yol açabilir ve ağınıza zarar verebilir.
Siber Güvenlik haberleri, Teknik İncelemeler ve İnfografiklerden haberdar olun. Bizi LinkedIn’de takip edin & heyecan.