Bir tür karanlık internet servis sağlayıcısı olan kurşun geçirmez barındırma hizmetleri, siber suçlulara altyapı sunarak kötü amaçlı yazılım dağıtımı, bilgisayar korsanlığı saldırıları, sahte web siteleri ve spam gibi kötü niyetli faaliyetleri kolaylaştırır.
Bu hizmetler yasal incelemeden kaçıyor ve küresel siber güvenlik açısından önemli bir zorluk teşkil ediyor. Kurşun geçirmez barındırma ağlarını anlamak ve tanımlamak, siber güvenlik araştırmacıları, kolluk kuvvetleri ve işletmeler için çok önemlidir.
Araştırmacılar bu hizmetleri tanıyarak kötü amaçlı faaliyetlerin potansiyel kaynaklarını ortaya çıkarabilir, kolluk kuvvetleri siber suçların kökenini hedefleyebilir ve kuruluşlar yeni ortaya çıkan tehditlere karşı koruma sağlamak için daha sağlam güvenlik stratejileri geliştirebilir.
Siber güvenlik araştırmacısı “Fox_threatintel”, Redline C2 altyapısıyla ilişkili üç IP adresi (185.215.113.25, 185.215.113.9 ve 185.215.113.67) belirledi.
2024 MITRE ATT&CK Değerlendirme Sonuçları KOBİ’ler ve MSP’ler içins -> Ücretsiz Kılavuzu İndir
Kurşun geçirmez bir barındırma hizmeti sağlayıcısı olan ELITETEAM tarafından barındırılan bu IP adresleri, gevşek düzenlemesi ve kötü niyetli faaliyetlerle ilişkilendirilmesiyle bilinen bir ağ segmentinde çalışır.
Genellikle yasal yaptırımların zayıf olduğu ülkelerde bulunan kurşun geçirmez barındırma hizmetleri, siber suçluların tespit edilmekten kaçmasına ve kötü amaçlı yazılım dağıtımı, kimlik avı ve fidye yazılımı saldırıları dahil olmak üzere çeşitli yasa dışı faaliyetler gerçekleştirmesine olanak tanır.
Siber suçlular, ELITETEAM gibi kurşun geçirmez barındırma hizmetlerini kullandıklarında, kötü niyetli faaliyetlerini herhangi bir sonuç korkusu olmadan gerçekleştirebilirler.
Hizmetler, son derece gizli ve sansür karşıtı barındırma sunarak siber suçluların kanun yaptırımlarından kaçmasına ve büyük ölçekli kimlik avı saldırıları, web uygulaması saldırıları, fidye yazılımı yayılımı ve botnet desteği gerçekleştirmesine olanak tanır.
Bu hizmetler, kötü amaçlı altyapıyı barındırarak siber suçların yayılmasına, işletmelerin aksamasına, hassas verilerin tehlikeye atılmasına ve küresel siber güvenlik çabalarının baltalanmasına katkıda bulunur.
Kurşun geçirmez barındırma olduğundan şüphelenilen 185.215.113.0/24 ağ segmentine ilişkin bir araştırma, çeşitli göstergeleri ortaya çıkardı. 256 IP’nin tamamı VirusTotal tarafından kötü amaçlı olarak işaretlendi ve ThreatFox, Amadey ve RedLine gibi kötü amaçlı yazılım ailelerini belirledi.
ZoomEye, uzaktan erişim, web hizmetleri, e-posta ve potansiyel komuta ve kontrol için ortak açık bağlantı noktaları belirlerken, SSL sertifikaları ve JARM değerlerinin analizi, ağ segmentinde yüksek düzeyde özelleştirmeye işaret etti.
Daha sonra soruşturma, paylaşılan SSL sertifikası parmak izleri ve ayırt edici HTTP içeriğine dayalı olarak birbirine bağlanan IP adreslerini kapsayacak şekilde genişletildi.
Bu genişletme, farklı ASN’lerdeki potansiyel olarak ilişkili IP’leri belirledi ve paylaşılan AS konumu, rota ilişkileri, SSL sertifikası çakışması ve VirusTotal tarafından tanımlanan kötü amaçlı IP’lerin yüksek yüzdesi nedeniyle 185.208.158.0/24’ü başka bir kurşun geçirmez barındırma ağı olarak önerdi.
Bir siber güvenlik araştırmacısı, kurşun geçirmez bir barındırma ağı içinde üç Redline C2 IP adresi tespit etti ve bu ağın, ilgili ağ segmenti 185.208.158.0/24 ile birlikte muhtemelen tek bir hacker grubu tarafından kontrol edildiğini ortaya çıkardı.
Paylaşılan SSL sertifikası parmak izleri, kötü amaçlı etkinliklerin örtüşen zaman çizelgeleri ve coğrafi yakınlığın tümü, desteğine katkıda bulunuyor.
Merkezi Seyşeller’de bulunan kurşun geçirmez barındırma sağlayıcısı ELITETEAM, siber suç operasyonlarını kolaylaştırarak bu ağı kötü niyetli faaliyetler için bir merkez haline getirmesiyle tanınıyor.
ANY.RUN ile Gerçek Dünyadaki Kötü Amaçlı Bağlantıları, Kötü Amaçlı Yazılımları ve Kimlik Avı Saldırılarını Araştırın – Ücretsiz Deneyin