Актор, которого исследователи безопасности называют Prolific Puma, предоставляет киберпреступникам услуги по сокращению ссылок уже не менее четырех лет, оставаясь при этом достаточно малозаметным, чтобы работать незамеченным.
Менее чем за месяц Prolific Puma зарегистрировал тысячи доменов, многие из которых находятся в американском домене верхнего уровня (usTLD), чтобы помочь в доставке фишинговых, мошеннических и вредоносных программ.
Сервис коротких URL для киберпреступников
Исследователи компании Infoblox, специализирующейся на обеспечении безопасности DNS и ежедневно обрабатывающей 70 млрд. DNS-запросов, впервые заметили активность Prolific Puma полгода назад, обнаружив алгоритм генерации зарегистрированных доменов (RDGA) для создания доменных имен для вредоносного сервиса сокращения URL-адресов.
Используя специализированные DNS-детекторы, они смогли отследить развитие вредоносной сети, которая использовала usTLD для совершения преступлений в Интернете.
В силу особенностей сервисов сокращения ссылок Infoblox смог отследить короткие ссылки, но не конечную целевую страницу, несмотря на обнаружение большого количества взаимосвязанных доменов, демонстрирующих подозрительное поведение.
"В итоге мы зафиксировали несколько случаев, когда сокращенные ссылки перенаправляли на конечные целевые страницы, которые были фишинговыми и мошенническими сайтами" - Infoblox
Некоторые из коротких ссылок Prolific Puma вели непосредственно к конечному пункту назначения, но другие указывали на множество перенаправлений, даже на другие сокращенные ссылки, прежде чем попасть на целевую страницу.
По данным Infoblox, были также случаи, когда при переходе по короткой ссылке пользователь попадал на страницу с запросом CAPTCHA, вероятно, для защиты от автоматического сканирования.
Из-за такого несоответствия загрузки коротких ссылок Prolific Puma исследователи считают, что этот сервис используют несколько субъектов.
Способы доставки ссылок также различны и включают в себя социальные сети и рекламу, но в качестве основного канала указывают на текстовые сообщения.
Масштабная операция
Масштабы операции Prolific Puma, раскрытые Infoblox, впечатляют. С апреля 2022 года он зарегистрировал до 75 000 уникальных доменных имен.
Рассматривая уникальные домены в сети актера, исследователи отметили, что в начале года был зафиксирован пик, когда за один день создавалось около 800 доменов длиной до четырех символов.
Домены Puma распространены в 13 доменах верхнего уровня. Однако с мая этого года актер использовал usTLD более чем для половины всех созданных доменов, в среднем 43 домена в день.
С середины октября исследователи заметили в usTLD, указывающих на активность Prolific Puma, около 2 000 доменов, находящихся под защитой частных регистраторов.
Регистратор и количество доменов (1 сентября - 15 октября 2023 г.):
- NameSilo - Prolific Puma: 1062
- NameSilo - возможно, не Prolific Puma: 411
- PorkBun: 5
- NameCheap: 4
- Sav.com: 1
- Домены, зарегистрированные частными лицами в usTLD
Следует отметить, что в соответствии с действующей политикой частные регистрации в пространстве имен .US не допускаются, и регистрант обязан предоставлять точную и достоверную информацию.
Кроме того, регистраторы обязаны не предлагать частные регистрации доменов владельцам доменных имен .US.
Как правило, домены Prolific Puma являются буквенно-цифровыми, псевдослучайными и различаются по размеру, наиболее распространенными являются трех- и четырехсимвольные. Однако исследователи наблюдали домены длиной до семи символов.
Примеры доменов длиной 3-4 символа, зарегистрированных Prolific Puma в различных доменах верхнего уровня:
usс:
- vf8[.]us
- 2ug[.]us
- z3w[.]us
- yw9[.]us
- 8tm[.]us
link:
- cewm[.]link
- wrzt[.]link
- hhqm[.]link
- ezqz[.]link
- zyke[.]link
info:
- uelr[.]info
- ldka[.]info
- fbvn[.]info
- baew[.]info
- shpw[.]info
com:
- kfwpr[.]com
- trqrh[.]com
- nhcux[.]com
- khrig[.]com
- dvcgg[.]com
cc:
- jlza[.]cc
- hpko[.]cc
- ddkn[.]cc
- mpsi[.]cc
- wkby[.]cc
me:
- scob[.]me
- xnxk[.]me
- zoru[.]me
- mjzo[.]me
- ouzp[.]me
В течение последних трех лет актер использовал хостинг преимущественно от NameSilo - дешевого интернет-регистратора доменов, которым часто злоупотребляют киберпреступники и который предлагает API для массовой регистрации.
Чтобы избежать проверки и обнаружения, Prolific Puma старит свои домены, оставляя их неактивными или припаркованными на несколько недель. В этот период он делает несколько DNS-запросов, чтобы заработать репутацию.
Когда домены готовы к использованию, он передает их хостинг-провайдеру, оплачивая в криптовалюте Bitcoin виртуальный частный сервер с выделенным IP-адресом.
Infoblox обнаружила, что некоторые из этих доменов через некоторое время оказываются заброшенными, но DNS-запись по-прежнему указывает на выделенный IP-адрес.
Исследователи полагают, что Prolific Puma предоставляет только услугу коротких ссылок и не контролирует целевые страницы, но не исключают, что всеми операциями управляет один и тот же субъект.
Ниже приведен пример использования сервиса Prolific Puma в кампании с фишинговой страницей, запрашивающей учетные данные и платеж, для последующей доставки вредоносного плагина для браузера.
По данным Infoblox, компания не рекламирует свой сервис укорачивания на подпольных рынках, однако он является самым крупным и динамичным. Использование десятков тысяч доменных имен, зарегистрированных у нескольких регистраторов, позволяет им оставаться незамеченными.
"Хотя провайдеры услуг безопасности могут выявлять и блокировать конечный контент, без более широкого взгляда трудно увидеть весь масштаб деятельности и связать домены в единый DNS-актор", - Infoblox.
Infoblox удалось раскрыть масштабную операцию с помощью алгоритмов, отмечающих подозрительные или вредоносные домены. С помощью пассивных журналов DNS q uery новые запрашиваемые, зарегистрированные или настроенные домены оцениваются и помечаются как подозрительные или вредоносные, если они соответствуют критериям, позволяющим связать их с агентом DNS-угрозы.
Обнаружение Prolific Puma началось с автоматической аналитики, которая выявила несколько связанных доменов. Когда в начале этого года компания развернула алгоритмы для обнаружения RDGA, используемые домены были определены в группы. Другой алгоритм соотнес кластеры доменов и приписал их одному субъекту DNS-угроз.
В отчете компании Infoblox приводится набор индикаторов активности Prolific Puma, включающий IP-адреса и домены коротких хостингов, перенаправляющие и целевые страницы, а также адрес электронной почты, найденный в регистрационных данных домена.
По новым правилам Дзена свежие материалы показываются в первую очередь подписчикам, которые реагируют на публикации. Поэтому не забывайте подписаться, поставить лайк и оставить комментарий, так вы будете первым узнавать о всех новых статьях на нашем канале!
