Siber güvenlik araştırmacıları, Lurking Lizard adında yeni bir tehdit aktörünü tespit ettiklerini duyurarak ciddi bir uyarıda bulundu. Bu grup, 230’dan fazla sahte alan adı kullanarak kurbanlarının cihazlarını ev tipi proxy düğümlerine dönüştürüyor. Bu sayede, saldırganlar gizliliklerini korumak isteyen kullanıcıların internet trafiğini ele geçirerek yasa dışı faaliyetlerde bulunabiliyor.
DNS tehdit istihbaratı firması Infoblox tarafından yapılan araştırmaya göre, bu tehdit aktörünün faaliyetleri en az Ağustos 2022’ye kadar uzanıyor. Saldırganlar, özellikle sahte 7-Zip kurulum dosyaları aracılığıyla kurbanların sistemlerine bulaşmayı hedefliyor. Bu dosyalar, meşru yazılım gibi görünse de aslında proxy hizmeti sağlayan kötü amaçlı yazılımlar içeriyor.
Tehdit Nasıl Çalışıyor?
Lurking Lizard’in operasyonu, ev tipi proxy ağı modeline dayanıyor. Bu modelde, kurbanların cihazları (bilgisayarlar, akıllı telefonlar, IoT cihazları vb.) proxy sunucuları olarak kullanılıyor. Bu sayede saldırganlar, IP adreslerini gizleyerek çeşitli çevrimiçi faaliyetlerde bulunabiliyor. Örneğin:
- Kötü amaçlı web siteleri aracılığıyla trafiği yönlendirme
- Fidye yazılımları ve diğer zararlı yazılımların yayılması
- Çevrimiçi kimlik avı saldırıları için sahte IP’ler oluşturma
- Yasadışı içeriklerin dağıtımı
Saldırganların Hedefleri ve Yöntemleri
Lurking Lizard’in en dikkat çekici özelliği, sahte web siteleri ve alan adları kullanarak mağdurları kandırması. Araştırmacılar, saldırganların meşru yazılımların (örneğin 7-Zip, Adobe Flash, Microsoft Office gibi popüler araçların) korsan versiyonlarını dağıttıklarını tespit etti. Bu sahte kurulum dosyaları, kullanıcıların sistemlerine proxy hizmeti sağlayan kötü amaçlı yazılımlar enjekte ediyor.
Buna ek olarak, saldırganlar açık kaynaklı proxy yazılımları kullanarak kendi proxy ağlarını oluşturuyor. Bu yazılımlar, kurbanların cihazlarının kaynaklarını (bant genişliği, işlemci gücü vb.) tüketerek performans kayıplarına neden olabiliyor. Ayrıca, bu proxy düğümleri aracılığıyla yapılan faaliyetler, kurbanların IP adreslerinin kara listelere girmesine yol açabiliyor.
Korunma Yöntemleri ve Önlemler
Bu tür tehditlerden korunmak için aşağıdaki adımları izlemeniz önemlidir:
- Güvenilir kaynaklardan yazılım indirin ve resmi web sitelerini kullanın.
- Korsan yazılımlardan kaçının; ücretsiz olarak sunulan her şey güvenilir değildir.
- Antivirüs ve anti-malware yazılımlarını güncel tutun ve düzenli taramalar yapın.
- DNS filtreleme hizmetleri kullanarak zararlı alan adlarına erişimi engelleyin. Örneğin, Quad9, OpenDNS veya Cloudflare DNS gibi güvenilir hizmetleri tercih edin.
- Güvenlik duvarı ve ağ izleme araçları kullanarak olağandışı trafikleri tespit edin.
- Çok faktörlü kimlik doğrulama (MFA) kullanarak hesap güvenliğinizi artırın.
- Eğer bir cihazda performans düşüşü veya şüpheli aktivite fark ederseniz, derhal tarama yapın.
İşletmeler İçin Özel Öneriler
İşletmeler, bu tehditlere karşı daha da dikkatli olmalıdır. Özellikle uzaktan çalışma modelleri kullanılan şirketler, çalışanlarının cihazlarının güvenliğini sağlamak için aşağıdaki adımları izlemelidir:
- End-point koruma yazılımları kullanarak tüm cihazları izleyin ve koruyun.
- Eğitim ve farkındalık programları düzenleyerek çalışanları siber tehditler hakkında bilgilendirin.
- Sıfır Güven (Zero Trust) modelini benimseyerek her erişim talebini doğrulayın.
- Proxy hizmetlerini şirket bünyesinde merkezi olarak yönetin ve denetleyin.
- Güvenlik açıklarını tespit etmek için düzenli penetrasyon testleri ve saldırı simülasyonları yapın.
Sonuç olarak, Lurking Lizard gibi tehdit aktörlerinin faaliyetleri, siber güvenlik dünyasında yeni bir boyut kazanıyor. Kullanıcıların ve işletmelerin bu tür saldırılara karşı proaktif önlemler alması ve sürekli olarak kendilerini güncellemeleri hayati önem taşıyor. Unutmayın, bir cihazın proxy düğümüne dönüşmesi sadece bir güvenlik ihlalinden ibaret değil; aynı zamanda yasa dışı faaliyetlere ortak olmak anlamına da gelebilir.



