Ağustos 2023’ten bu yana izlenen gizli bir web sitesi kötü amaçlı yazılım kampanyası olan Detour Dog, kurbanları teknoloji destekli dolandırıcılıklara yeniden yönlendirmekten, Strela Stealer bilgi stealer’ı DNS TXT kayıtları aracılığıyla sağlayan gelişmiş bir DNS tabanlı komut ve kontrol (C2) dağıtım sistemi haline getirdi.
Dünya çapında on binlerce uzlaşmış web sitesi, ziyaretçiler için görünmez sunucu tarafı DNS istekleri yapar ve koşullu yeniden yönlendirmeleri ve uzaktan kod yürütülmesini sağlar.
Başlangıçta, Desto Köpek Kontrollü Ad Sunucuları enfekte olmuş siteleri Los Pollos ve Yardım TDS gibi aldatma sayfalarına yönlendirdi.
Kasım 2024’ün sonlarında, TDS ve para TDS bağlı kuruluş ağlarına yardım etmek için Los Pollos’tan kayan yeniden yönlendirmeler, ancak sonuç – taşkın trafik para kazanma – aynı şeyi yeniden değerlendirdi.
İlkbahar 2025’ten başlayarak yeni bir özellik ortaya çıktı: Ad sunucuları, temel olarak biçimlendirilmiş DNS txt sorgularına Base64 kodlu “Aşağı” komutlarıyla yanıt vermeye başladı ve tehlikeye atılan sitelere uzak C2 sunucularından PHP komut dosyaları getirme ve yürütme talimatı verdi. Bu, Detour Dog’un ilk kez kötü amaçlı yazılımları doğrudan ev kullanıcılarına teslim ettiğini işaret ediyor.
Haziran 2025’te araştırmacılar, Strela Stealer yükünü kuran denizyıldızı arka kapısını barındıran sapık köpek altyapısı gözlemlediler. Analiz, teyit edilen denizyıldızı evreleme konakçılarının% 69’unun dolambaçlı köpek kontrolü altında olduğunu ortaya koydu.
Birden fazla trafik dağıtım sisteminde (TDSS) taşınan sapma köpek el sanatları izleme tanımlayıcıları.
Dışarıdan, denizyıldızı ve strela, REM Proxy Mikrotik Botnet ve Tofsee Botnet aracılığıyla gönderilen spam yoluyla yayıldı.
8 Haziran’da DNS TXT yanıtları PHP uç noktaları için C2 URL’leri sağlamaya başladı – ilk script.php denizyıldızı indiricisini teslim etmek için file.php Strela Stealer Zip Arşivini almak için-çok aşamalı, DNS-Orchestrated bir teslimat zincirini yaratın.
Gizli bir kanal olarak DNS TXT
Meydan okumalı siteler formda DNS TXT sorguları oluşturur:
text....c2_domain
Ne zaman nwuuscript veya nauufileYetkili Ad Sunucusu, “Aşağı” ve bir C2 URL ile ön eklenmiş bir txt kaydı döndürür.
PHP komut dosyası çıkışı daha sonra, müşteri tarafı algılamadan kaçan sunucu tarafı kıvrılma istekleri üzerinden kurbana aktarılır.
6-8 Ağustos 2025’ten pasif DNS günlükleri, ağırlıklı olarak iyi huylu “Hiçbir Şey” yanıtı gösteriyor, ancak ara sıra uzaktan yürütme komutları yenilikçi üç kartlı Monte tarzı dağıtım modelini ortaya koyuyor.
Shadowserver Foundation, birincil C2 alanını detaylandırdı, webdmonitor[.]ioAğustos 2025’te, sadece sapma köpeğinin dönmesi için aeroarrows[.]io birkaç saat içinde. Düden verileri, 584 TLD’de 30.000 enfekte olan ana bilgisayardan 48 saat içinde 39 milyondan fazla txt sorgusu yakaladı.
Bot trafiği egemen olmasına rağmen – 2 milyon saatlik taleplerde yer alıyordu – benzersiz IP’ler 89 ülkeyi kapsıyordu ve ABD, farklı ziyaretçi IP’lerinin% 37’sini oluşturuyor.
İlginç bir şekilde, bazı kodlanmış IP’ler ABD Savunma Bakanlığı alt ağlarına aitti ve bu sorguları kimin veya neyin oluşturduğunun gizemini vurguladı.
Tarihi Evrim ve Bağlı Kuruluş Ağ Bağları
Detour Dog’un kökenleri Şubat 2020’ye kadar uzanıyor ve başlangıçta trafiği IDS tarafından tanımlanan Los Pollos iştiraklerine ileterek bt1k60t ve daha sonra yardım TDS bağlı kimlikleri entegre etmek.
LOS Pollos bağlantısı ayrıca bağlı kimlik BT1K60T içerir ve site başka bir etki alanına yönlendirilir,[.]Taco Loco’nun bir parçası olduğuna inandığımız Hetzner’da barındırılan canlı.
Kasım 2024 ve 20 Kasım 2024’te belgelenen ayrıntılı yeniden yönlendirme zincirleri, yardım TDS’den para TDS’ye tutarlı izleme parametreleri ile geçişleri göstermektedir (cid:11005).
Kompozit zaman çizelgeleri, beş buçuk yıl süren sürekli bağlı kuruluş güdümlü akışları ortaya çıkarır.
Bu DNS TXT C2 modeli, küresel bir tehlikeye atılan web sitesi ağının arkasındaki gerçek C2 altyapısını gizleyen yeni, esnek bir kötü amaçlı yazılım dağıtım mimarisini temsil eder.
Bağlı kuruluş pazarlama trafiği, DNS tabanlı uzaktan yürütme ile akarsu ile Destour Dog, Saldırı Zincirlerini ve Yanlış Dolap savunucularını gizler.
Detour Dog, sistemini geliştirmeye devam ettikçe – devam eden özellik genişlemesini gösteren pasif DNS testleri ile – örgütler ve tehdit avcıları, bu tür gizli tehditleri tespit etmek ve azaltmak için DNS TXT izleme ve düdenleme stratejilerini içermelidir.
Anında güncellemeler almak ve GBH’yi Google’da tercih edilen bir kaynak olarak ayarlamak için bizi Google News, LinkedIn ve X’te takip edin.