Son dönemde ortaya çıkan ve Lurking Lizard adı verilen tehdit aktörü, 230’dan fazla benzer alan adından oluşan bir altyapı üzerinden kötü amaçlı bir konut proxy ağı işletiyor. Bu faaliyetler Ağustos 2022’den beri sürüyor ve DNS tehdit istihbaratına dayanan analizler, saldırganların sahte 7-Zip kurulum dosyaları ile cihazları gizlice proxy düğümlerine dönüştürdüğünü gösteriyor.
Kimler Hedefte ve Nasıl Yayılıyor?
Özellikle masaüstü cihaz kullanıcıları, trojanlı 7-Zip yükleyicileriyle hedef alınıyor. Kampanyada “7zip[.]com” gibi orijinal alan adına çok benzeyen sahte siteler kullanılıyor. Bu alanlar, gerçek 7-Zip sitesinin yanlış referans verilmesiyle kurbanların dikkatini çekmek üzere seçilmiş. Üstelik Lurking Lizard, IPIDEA, SmartProxy, IP Royal ve 911Proxy gibi büyük proxy sağlayıcılarının kimliklerini taklit ederek güvenilirlik algısı yaratıyor. Sahte bağımsız inceleme siteleri ile de bu dolandırıcılık mağazalarına trafik çekiliyor.
Altyapı ve Operasyonun Teknik Yönleri
Proxyway tarafından yapılan araştırmalar, SmartProxy’ye ait yaklaşık 773 bin benzersiz IP adresinin IPIDEA’nın 16 milyonluk IP veri kümesinde de yer aldığını ortaya koydu. Bu, SmartProxy’nin IPIDEA altyapısını doğrudan yeniden sattığını veya önemli bir IP kaynağı olarak kullandığını düşündürüyor. WHOIS kayıtları ve altyapı parmak izi analizleri, saldırganların Çin merkezli olduğunu işaret ediyor. Ayrıca HeroSMS gibi popüler VPN ve hizmetler, proxy zararlısını dağıtmak için dikkat dağıtıcı olarak kullanılıyor.
Lurking Lizard’ın taktiklerinden biri, domainlerin süresi dolduğunda onları satın alarak geçmiş kullanıcı itibarını devralmak. Bu drop-catching yöntemi, özellikle alan adı yanlış yazımı üzerinden kurbanları kandırmak için etkili bir araç haline gelmiş.
Mobil Uygulamalar ve Çok Yönlü Saldırı
Incognito altyapı aynı zamanda, 7-Zip, WhatsApp ve sahte TikTok ile YouTube indirici araçları gibi uygulamalar için de sahte kurulum dosyaları sunuyor. WireVPN markasını taşıyan yeni varyantlar mobilde geniş bir kullanıcı kitlesini hedef alıyor. Android platformu için Birleşik Krallık merkezli WEILAI NETWORK TECHNOLOGY CO., LIMITED tarafından geliştirilen “wirevpn – Fast Unlimited Proxy” adlı uygulama 1 milyondan fazla indirildi. Ancak bu indirmelerin organik olup olmadığı belirsizliğini koruyor.
İlk 7-Zip kampanyasında kurbanlar, eğitim içerikleri, arama motorları ve benzer alan adları aracılığıyla zararlı yükleyicilere yönlendirilmişti. Mobil uygulamaların aynı proxy işlevselliğini barındırıp barındırmadığı henüz net değil. Yine de bu gelişmeler, kurbanların cihazlarını proxy botnet ağına dönüştüren kapsamlı ve organize bir yasa dışı işletmenin varlığını gözler önüne seriyor.
Saldırı Zinciri ve İşleyiş
Operasyon iki ana aşamadan oluşuyor: İlk olarak, trojanlı yükleyiciler ve mobil uygulamalar aracılığıyla cihazlar ağ içine katılıyor. İkinci adımda ise bu proxy ağı, sahte proxy hizmet markaları ve inceleme siteleriyle pazarlanıp gelir elde ediliyor. Bu yapı, kurbanların cihazlarını sadece kötü amaçlı yazılım bulaşması olarak değil, sürekli kullanımda olan, üçüncü taraf trafiği geçiren bir proxy ağı olarak da konumlandırıyor.
Google’ın Ocak ayında NetNut konut proxy ağını çökertmesiyle benzer bir tehlikeye ışık tutuldu. Bu ağda milyonlarca cihaz, önceden yüklenmiş veya uygulamalar içine gizlenmiş zararlı SDK’lar aracılığıyla izinsiz ağa trafik aktarıyordu. Bu durum, cihaz sahipleri için ciddi bir güvenlik açığı oluşturuyor; çünkü ev IP adresleri saldırılar için birer üs haline gelebiliyor ve meşru trafik bile şüpheli görülüp engellenebiliyor.
Pratik Güvenlik Önlemleri
- EDR çözümleri ile şüpheli proxy trafiği ve anormal bağlantılar izlenmeli.
- DNS sorguları ve alan adı erişimleri düzenli olarak denetlenmeli, drop-catching riskine karşı alan adı kayıtları takip edilmeli.
- Son kullanıcılar, yazılım ve uygulamaları yalnızca resmi kaynaklardan indirmeye teşvik edilmeli.
- Firewall ve ağ segmentasyonu ile cihazların çıkış trafiği sınırlandırılabilir.
- Mobil uygulama izinleri sıkı kontrol edilmeli, gereksiz ağ erişimleri engellenmeli.
- Olay müdahale ekipleri, proxy botnet aktivitelerini tespit etmek için logları detaylı analiz etmeli.
Bu kampanya, sadece bir kötü amaçlı yazılım saldırısı değil; aynı zamanda karmaşık bir ekosistem yönetimiyle yürütülen, uzun vadeli ve çok aşamalı bir siber suç operasyonu. Kurumların ve bireylerin, özellikle ağ güvenliği ve e-posta güvenliği gibi alanlarda güçlü önlemler alması gerekiyor.
