بازیگری که محققان امنیتی آن را Prolific Puma مینامند، حداقل چهار سال است که خدمات کوتاهسازی لینک را به مجرمان سایبری ارائه میکند، درحالیکه به قدر کافی مخفیانه عمل می کند تا به طور ناشناخته بماند. در کمتر از یک ماه، Prolific Puma هزاران دامنه را ثبت کرده است که بسیاری از آنها در دامنه سطح بالای ایالات متحده (usTLD) هستند تا به ارسال فیشینگ، کلاهبرداری و بدافزار کمک کند. محققان Infoblox، یک فروشنده امنیتی متمرکز بر DNS که روزانه 70 میلیارد درخواست DNS را بررسی میکند، برای اولین بار شش ماه پیش، پس از شناسایی یک الگوریتم تولید دامنه ثبتشده (RDGA) جهت ایجاد نام دامنه برای کوتاه کردن سرویس مخرب URL، فعالیت Prolific Puma را مشاهده کردند.
با استفاده از آشکارسازهای تخصصی DNS، محققان توانستند این شبکه مخرب را در حین تکامل ردیابی کنند و از usTLD برای تسهیل جرم در اینترنت سوءاستفاده کردند. به دلیل ماهیت خدمات کوتاهکننده لینک، Infoblox میتواند لینکهای کوتاه را ردیابی کند. اما به جهت تعداد زیادی دامنه های به هم پیوسته با رفتار مشکوک، نمی تواند صفحه فرودهای نهایی را ردیابی کند.
برخی از لینکهای کوتاه Prolific Puma مستقیماً به مقصد نهایی منتهی میشوند، اما برخی دیگر به تغییر مسیرهای متعدد، حتی سایر پیوندهای کوتاهشده، قبل از رسیدن به صفحه فرود اشاره میکنند. به دلیل این ناهماهنگی در آنچه پیوندهای کوتاه Prolific Puma بارگذاری میشود، محققان بر این باورند که چندین بازیگر از این سرویس استفاده میکنند. روش تحویل این پیوندها نیز متفاوت است و شامل رسانههای اجتماعی و تبلیغات میشود، اما شواهد نشان میدهد که پیامهای متنی بهعنوان کانال اصلی هستند.
اندازه عملیات Prolific Puma که توسط Infoblox کشفشده است، چشمگیر است. این بازیگر از آوریل 2022 بیش از 75000 نام دامنه منحصر به فرد را ثبت کرده است.
source: Infoblox
دامنههای پرکار Prolific Puma در 13 TLD پخششدهاند. بااینحال، از ماه مه امسال، بازیگر از usTLD برای بیش از نیمی از کل دامنههای ایجادشده استفاده کرده است که میانگین روزانه آن 43 است. از اواسط اکتبر، محققان نزدیک به 2000 دامنه را در usTLD مشاهده کردند که نشاندهنده فعالیت Prolific Puma است که پشت حفاظت از ثبت خصوصی است.
شایان ذکر است که ثبت نام خصوصی در فضای نام.US طبق سیاست فعلی مجاز نمیباشد و ثبتنام کننده ملزم به ارائه اطلاعات دقیق و واقعی است. علاوه بر این، ثبتکنندگان موظف هستند که ثبت دامنه خصوصی را به ثبت کنندگان نام دامنه.US ارائه ندهند. Infoblox توانست از طریق الگوریتمهایی که دامنههای مشکوک یا مخرب را علامتگذاری میکنند، این عملیات عظیم را کشف کند. از طریق گزارشهای جستجوی غیرفعال DNS، دامنههای تازه درخواستشده، ثبتشده یا پیکربندیشده ارزیابی میشوند و درصورتیکه معیارهای مرتبط کردن آنها با یک عامل تهدید DNS را داشته باشند، بهعنوان مشکوک یا مخرب علامتگذاری میشوند.
گزارش Infoblox مجموعهای از شاخصها را برای فعالیت Prolific Puma ارائه میکند که شامل لینک های کوتاه کننده آدرسهای IP میزبان و دامنهها، تغییر مسیر و صفحات فرود و یک آدرس ایمیل موجود در دادههای ثبت دامنه است.
منبع
- 7