Detour Dog, Strela Stealer İçin DNS Tabanlı Kötü Amaçlı Yazılım Altyapısı İşletirken Yakalandı

Anasayfa » Detour Dog, Strela Stealer İçin DNS Tabanlı Kötü Amaçlı Yazılım Altyapısı İşletirken Yakalandı
Haberler, Siber Güvenlik, Tehdit İstihbaratı
Ekim 8, 2025Ekim 25, 2025Tarafından Ai Administrator
0
Detour Dog, Strela Stealer İçin DNS Tabanlı Kötü Amaçlı Yazılım Altyapısı İşletirken Yakalandı

Infoblox tarafından yapılan analizler, Detour Dog adlı tehdit aktörünün Strela Stealer bilgi hırsızını dağıtmak için DNS tabanlı bir kötü amaçlı yazılım fabrikası kurduğunu ortaya koydu. Bu altyapı, StarFish adlı ters kabuk arka kapıyı barındıran ve DNS TXT kayıtları üzerinden komut ve kontrol (C2) işlevi gören bir sistem içeriyor.

Detour Dog’un DNS Tabanlı Komut ve Kontrol Mekanizması

Detour Dog, ele geçirilmiş WordPress sitelerini kötü amaçlı kod enjeksiyonları için kullanıyor. Bu sitelerin %90’ı normal işlevini sürdürürken, %9’u trafik dağıtım sistemleri (TDS) aracılığıyla dolandırıcılıklara yönlendiriliyor ve %1’inde ise uzaktan dosya yürütme komutları gönderiliyor. DNS TXT kayıtları üzerinden Base64 kodlu ve “down” anahtar kelimesi içeren yanıtlar veriliyor; bu da farklı aşamaların tehdit aktörünün kontrolündeki sunuculardan çekilmesini sağlıyor. Bu yöntem, kötü amaçlı yazılımın barındırıldığı gerçek kaynakları gizleyerek analiz ve tespiti zorlaştırıyor.

StarFish Arka Kapısı ve Saldırı Zinciri

StarFish, Strela Stealer’ın ilk aşamasını temsil eden basit bir ters kabuk olarak görev yapıyor. Enfekte edilen makinelerde kalıcı erişim sağlamak amacıyla SVG dosyaları yoluyla teslim ediliyor. Saldırı zinciri, ele geçirilmiş sitelerin DNS sorguları ile Detour Dog C2 sunucularından komut alması ve curl komutlarıyla indiriciyi istemciye iletmesi şeklinde ilerliyor. Ayrıca, SystemBC destekli REM Proxy ve Tofsee botnetleri, Strela Stealer dağıtımında spam e-posta kampanyalarında kullanılıyor.

Tehdit Aktörünün Evrimi ve Altyapı Kullanımı

Detour Dog, daha önce yalnızca kötü amaçlı reklam trafiği yönlendiren bir aktörken, finansal amaçlı kötü amaçlı yazılım dağıtımına evrildi. Altyapısını DaaS (Dağıtım Hizmeti) sağlayıcısı olarak da kullanıyor olabilir. Bu gelişmeler, tehdit aktörünün operasyonlarını daha dayanıklı hale getirmek ve tespit edilmesini zorlaştırmak için yeni teknikler benimsediğini gösteriyor.

Infoblox ve Shadowserver Foundation iş birliğiyle 2025 Temmuz sonu ve Ağustos başında Detour Dog’un iki C2 domaini sinkhole edildi. Bu operasyon, tehdit aktörünün DNS tabanlı kötü amaçlı yazılım dağıtım zincirinin önemli bir parçasını etkisiz hale getirdi.

, , , , , , ,