Araştırmacılar, bir Çin CDN’si olan FUNNULL’un, finansal dolandırıcılık amaçlı sahte ticaret uygulamaları, kara para aklamak için kullanılan kumar siteleri ve lüks markaları hedef alan kimlik avı giriş sayfaları gibi kötü amaçlı içerikler barındırdığını tespit etti.
Kumar siteleri, muhtemelen engellemeyi aşmak ve sınır ötesi para akışını kolaylaştırmak için algoritmik olarak oluşturulmuş alanları ve Tether kripto para birimini kullanıyor.
FUNNULL, büyük web siteleri tarafından kullanılan bir JavaScript kütüphanesi olan polyfill.io’yu satın aldı; potansiyel tedarik zinciri saldırılarıyla ilgili endişeleri artırdı, net bir kaldırma sürecinden yoksundu ve kurşun geçirmez barındırma taktikleri kullanarak kötü amaçlı içeriğin kaldırılmasını zorlaştırdı.
FUNNULL CDN altyapısını kullanan önemli bir küresel mali dolandırıcılık kampanyası ve saygın finans kurumlarının kimliğine bürünen sahte ticaret uygulamaları, dolandırıcılık amaçlı iş dolandırıcılıkları ve çok sayıda şüpheli kumar web sitesi de dahil olmak üzere çok çeşitli kötü amaçlı içeriğe ev sahipliği yapıyor.
KOBİ’ler ve MSP’ler için 2024 MITRE ATT&CK Değerlendirme Sonuçları -> Ücretsiz Kılavuzu İndirin
Tehdit aktörleri, yüksek miktarda benzersiz ana makine adı oluşturmak ve kötü niyetli faaliyetlerini gizlemek için Etki Alanı Oluşturma Algoritmaları (DGA’lar) kullanır.
Microsoft ve Amazon gibi büyük bulut sağlayıcıları da dahil olmak üzere çeşitli bölgelere dağıtılan kapsamlı Varlık Noktaları (PoP) ağı, bu dolandırıcılık planlarının hızlı bir şekilde konuşlandırılmasını ve dağıtılmasını kolaylaştırıyor.
ACB Grubuyla bağlantılı bir CDN hizmeti olan FUNNULL, şirketin Çin dışında faaliyet göstermesi ve niş bir pazara hitap etmesi ve toplu alan adı yönetimi için indirimli fiyatlar sunması nedeniyle çevrimiçi kumar faaliyetlerini kolaylaştırmada rol oynuyor.
Yasadışı kumar ve kara para aklamayla uğraşan bir şirket olan Suncity Group ile ilişkili olanlar da dahil olmak üzere pek çok kumar web sitesi, FUNNULL’un sunucularında barındırılıyor; bu da, FUNNULL’un bu yasadışı faaliyetlerde suç ortağı olabileceğini ve potansiyel olarak Çin yasalarını ve uluslararası düzenlemeleri ihlal edebileceğini gösteriyor.
Silent Push’un Suncity Group’un çevrimiçi kumar operasyonlarına yönelik yaptığı bir araştırma, FUNNULL içerik dağıtım ağında (CDN) barındırılan geniş bir web sitesi ağını ortaya çıkardı.
Bu, bu kumar siteleri için şablonlar içeren bir GitHub hesabı olan “xianludh”un keşfedilmesine yol açtı; bu da, FUNNULL tarafından barındırılan içeriğin önemli bir bölümünü tek bir kaynağın oluşturduğunu gösteriyor.
“Xianludh” deposu üzerinde daha ayrıntılı bir araştırma, kara para aklamadan bahseden ve “para taşıma” ağlarını teşvik eden Telegram kanallarına bağlantı veren bir sayfayı ortaya çıkardı; bu, FUNNULL tarafından barındırılan web siteleri tarafından da kolaylaştırılıyor gibi görünüyor ve Suncity’nin kumar oynaması ile potansiyel kara para aklama arasında bir bağlantı olduğunu öne sürüyor aktiviteler.
FUNNULL CDN’den yararlanan bir tehdit aktörü tarafından düzenlenen saldırılar, kullanıcı kimlik bilgilerini çalmak üzere tasarlanmış kötü amaçlı oturum açma sayfalarını içerdiğinden, büyük perakende markalarını hedef alan büyük ölçekli bir kimlik avı kampanyası.
Sık sık ele geçirilen alan adlarının alt alanlarında barındırılan bu kimlik avı siteleri, hassas bilgileri elde etmek amacıyla benzer teknikleri uyguladı.
FUNNULL CDN, polyfill.io kütüphanesi aracılığıyla 110.000’den fazla web sitesini hedef alan bir tedarik zinciri saldırısı da dahil olmak üzere diğer siber saldırılara da bulaşmıştır; bu saldırı, daha az saygın CDN’lerin kullanılmasıyla ilişkili potansiyel riskleri vurgular ve bu tür saldırılara karşı koruma sağlamak için dikkatli güvenlik uygulamalarının öneminin altını çizer. tehditler.
Investigate Real-World Malicious Links, Malware & Phishing Attacks With ANY.RUN – Try for Free