ProIT: медіа для профі в IT
3 хв.

Масову службу скорочення URL-адрес для кіберзлочинців виявлено за допомогою даних DNS

author avatar ProIT NEWS

Хакер, якого дослідники безпеки називають Prolific Puma, надає кіберзлочинцям послуги скорочення покликань протягом принаймні чотирьох років, зберігаючи при цьому досить стриманий профіль, щоб діяти непоміченим. Про це повідомляє BleepingComputer.

Менш ніж за місяць Prolific Puma зареєструвала тисячі доменів, багато з яких у домені верхнього рівня США (usTLD) для доставки фішингу, шахрайства і зловмисного програмного забезпечення.

Служба коротких URL-адрес для кіберзлочинців

Дослідники з Infoblox, орієнтованого на DNS-провайдера безпеки, який переглядає 70 мільярдів DNS-запитів щодня, вперше спостерігали діяльність Prolific Puma 6 місяців тому після виявлення алгоритму генерації зареєстрованих доменів (RDGA) для створення доменних імен для шкідливої служби скорочення URL-адрес.

Використовуючи спеціалізовані детектори DNS, вони змогли відстежити розвиток шкідливої мережі.

Через характер служб скорочення покликань Infoblox міг відстежувати короткі покликання, але не кінцеву цільову сторінку, незважаючи на виявлення великої кількості взаємопов’язаних доменів, які демонструють підозрілу поведінку.

«Зрештою ми зафіксували кілька випадків, коли скорочені покликання переспрямовували на кінцеві цільові сторінки, які були фішинговими та шахрайськими сайтами», –зазначили в Infoblox.

Деякі з коротких покликань від Prolific Puma вели безпосередньо до кінцевого пункту призначення, але інші вказували на численні перенаправлення, навіть інші скорочені покликання, перш ніж потрапити на цільову сторінку.

Infoblox повідомляє, що також були випадки, коли доступ до короткого покликання приводив користувача до виклику CAPTCHA, ймовірно, для захисту від автоматичного сканування.

Через цю невідповідність у тому, що короткі покликання Prolific Puma завантажуються далі, дослідники вважають, що послугою користується кілька акторів.

Спосіб доставки цих покликань також різний і включає соціальні мережі та рекламу, але докази вказують на те, що основним каналом є текстові повідомлення.

Масова операція

Розміри операції Prolific Puma, розкриті Infoblox, вражають. Із квітня 2022 року актор зареєстрував до 75 тисяч унікальних доменних імен.

Переглядаючи унікальні домени в хакерській мережі, дослідники помітили на початку року пік близько 800 доменів до чотирьох символів, створених за один день.

Домени Prolific Puma поширені у 13 доменах верхнього рівня. Проте з травня цього року виконавець використовував usTLD для більш ніж половини загальної кількості створених доменів, в середньому 43 на день.

З середини жовтня дослідники помітили 2000 закритих доменів у USTLD, що вказує на діяльність Prolific Puma, яка знаходиться за захистом приватної реєстрації.

Варто зазначити, що згідно з поточною політикою приватні реєстрації у просторі імен .US заборонені, а реєстрант зобов’язаний надавати точну та правдиву інформацію.

Крім того, реєстратори мають зобов’язання не пропонувати реєстрацію приватних доменів реєстрантам доменних імен .US.

Як правило, домени Prolific Puma є буквено-цифровими, псевдовипадковими та різняться за розміром, найпоширенішими є три- або чотирисимвольні. Однак дослідники спостерігали домени довжиною до семи символів.

Протягом останніх 3 років актор використовував хостинг переважно від NameSilo – дешевого реєстратора інтернет-доменів, яким часто зловживають кіберзлочинці, що пропонує API для масової реєстрації.

Щоб уникнути перевірки та виявлення, Prolific Puma старить свої домени, залишаючи їх неактивними на кілька тижнів. У цей період виконавець робить кілька DNS-запитів.

Коли він готовий до використання, хакер передає домени хостинг-провайдеру, сплачуючи криптовалютою Біткойн за віртуальний приватний сервер із обслуговуванням із виділеною IP-адресою.

Infoblox виявив, що деякі з цих доменів залишаються покинутими через деякий час, але запис DNS все ще вказує на виділену IP-адресу.

Дослідники вважають, що Prolific Puma надає лише службу коротких покликань і не контролює цільові сторінки, але не виключає можливості того, що той самий виконавець керує всією операцією.

Як повідомляє Infoblox, актор не рекламує свій сервіс скорочення на андеграундних ринках, але він є найбільшим і найдинамічнішим. Використання десятків тисяч доменних імен, зареєстрованих у кількох реєстраторів, дозволяє їм залишатися поза увагою.

Infoblox вдалося виявити масову операцію за допомогою алгоритмів, які позначають підозрілі або шкідливі домени. За допомогою журналів пасивних запитів DNS нещодавно запитувані, зареєстровані чи налаштовані домени оцінюються та позначаються як підозрілі або зловмисні, якщо вони відповідають критеріям для пов’язування їх із загрозою DNS.

Розкриття Prolific Puma почалося з автоматизованої аналітики, яка виявила кілька пов’язаних доменів. Коли компанія розгорнула алгоритми для виявлення RDGA на початку цього року, використовувані домени були визначені у групах. Інший алгоритм співвідніс доменні кластери та відніс їх до одного суб’єкта загрози DNS.

У звіті Infoblox наведено набір індикаторів активності Prolific Puma, який включає короткі покликання, IP-адреси хостингу та домени, перенаправлення й цільові сторінки, а також адресу електронної пошти, знайдену в даних реєстрації домену.

Підписуйтеся на ProIT у Telegram, щоб не пропустити жодну публікацію!

Приєднатися до company logo
Продовжуючи, ти погоджуєшся з умовами Публічної оферти та Політикою конфіденційності.