Detour Dog: Yeni Nesil Siber Tehdit Aktörü
Detour Dog, siber güvenlik alanında son dönemde dikkat çeken bir tehdit aktörü olarak öne çıkmaktadır. Bu aktör, kontrolü altındaki alanlar aracılığıyla daha önceleri ID çalıcısı olarak bilinen Strela Stealer’ı dağıtan kampanyalar yürütmektedir. Siber güvenlik araştırması yapan Infoblox, bu aktörü takip ederek, ilk kez Ağustos 2023’te GoDaddy’ye ait Sucuri’nin WordPress sitelerini hedef alan saldırıları açıklamasıyla birlikte ortaya çıkardığını bildirmiştir. O zamandan beri, Detour Dog’un çağrışım yaptığı saldırıların detayları gün yüzüne çıkmıştır.
Strela Stealer’ın Dağıtımı ve Kullanım Yöntemleri
Infoblox’un analizine göre, Detour Dog’un kontrolündeki alanların en az %69’u, StarFish adlı ilk aşama geri kapı yazılımını barındıran sitelere aittir. StarFish, aslında Strela Stealer için bir tercih hatalı zımbalama işlevi gören basit bir araçtır. IBM X-Force’un 2025 yılındaki bir raporunda ise, bu arka kapının, kalıcı erişim için SVG dosyaları üzerinden dağıtıldığı belirtilmektedir.
Detour Dog, finansal kazanç amacı güden bir tehdit aktörü olarak değerlendirilmekte ve ilk giriş sağlayıcısı (IAB) olarak görev yapmaktadır. Son yıllarda, zafiyetlerden yararlanarak WordPress web siteleri üzerindeki kötü niyetli kod enjeksiyonları gerçekleştirerek yeni altyapılar edinme yolunu seçmiştir. Bu, siber saldırıların kaçınılmaz bir boyut kazanmasına ve kullanıcıları doğrudan hedef almasına yol açmaktadır.
Spam E-Postalar ve Botnetler
Detour Dog’un kampanyaları, kötü amaçlı spam e-posta ile başlamaktadır. Bu e-postalar, REM Proxy ve Tofsee adlı botnetlerden kaynaklanmaktadır. REM Proxy için yapılan saldırılar, daha önce belirttiğimiz gibi, C++ tabanlı yükleyici olan PrivateLoader aracılığıyla yayılmıştır. Detour Dog’un altyapısı, saldırının başlangıç aşamasını yönlendiren önemli bir rol oynamaktadır. Dr. Renée Burton, bu durumun detaylarını açıklayarak, “Botnetler, spam mesajları iletmek için kiralanmışken, Detour Dog kötü amaçlı yazılımı iletmek için kiralanmıştır” demektedir.
DNS Tabanlı Dağıtım ve Komut Kontrolü
Detour Dog’un bir başka dikkat çekici özelliği, DNS TXT kayıtları aracılığıyla bilgi çalma yazılımını dağıtmasıdır. Tehdit aktörleri, kontrolündeki DNS sunucularını, bilgileri kötüye kullanmak amacıyla özel biçimlenmiş DNS sorgularını çözmesi için değiştirmiştir. Bu yöntem, daha önceki yöntemlerin evrimini ve genişletilmiş yeteneklerini göstermektedir.
Infoblox, 2025 yılı itibarıyla Detour Dog’un, son kullanıcı ile etkileşime geçildiğinde, DNS üzerinden zararlı içerik sağlayan yenilikçi bir model geliştirdiğini belirtmektedir. Bu süreçte, kodlar uzaktan sunuculardan yürütülerek, kötü amaçlı yazılımlar daha geniş bir etki alanına ulaşmaktadır.
İlgili Saldırı Aşaması
Saldırı süreci şu adımlar ile daha net bir şekilde açıklanabilir:
- Mağdur, kötü niyetli bir belgeyi açarak içindeki SVG dosyasıyla etkileşimde bulunur.
- Bu dosya, kötü niyetli bir alan ile iletişime geçer.
- İlgili DNS sunucusu, TXT kayıt isteği iletilir.
- Sunucu, bir Strela C2 URL’si ile dönüş yapar.
- Üzerinde çalışılan web sitesi, curl komutunu kullanarak URL’den StarFish indirmeye çalışır.
- Zararlı yazılım mağdurun cihazına ulaşır.
Bu süreç, Detour Dog’un ne ölçüde gelişmiş ve adaptasyon sağlamış bir model geliştirdiğini gözler önüne sermektedir.
Sektörel Müdahaleler ve Önlemler
Infoblox, 2025’te belirli C2 alanlarını sinkhole işlemi ile devre dışı bırakmayı başarmıştır. Ancak siber güvenlik alanında daha fazla dikkat ve bilinçlenme gereklidir. Detour Dog’un hizmet sunma modeli (DaaS), tehdidin ne denli yaygın olabileceğini göstermektedir. Kullanıcıların verilerinin güvenliği için daha dikkatli ve bilinçli olmaları gerektiği aşikardır.
Sonuç olarak, Detour Dog gibi tehdit aktörlerinin ortaya çıkması, siber güvenlik alanında yeni stratejilerin geliştirilmesi gerektiğini ortaya koymaktadır. Siber tehditlere karşı hem bireysel hem de kurumsal açıdan alınacak tedbirler, insanlığın teknoloji ile olan ilişkisini dönüştürebilir.
