"Telegram" üzərindən hücumlarla bağlı araşdırmanın nəticələri açıqlanıb

Elektron Təhlükəsizlik Xidməti tərəfindən aparılan monitorinq zamanı "Telegram" üzərindən həyata keçirilən fişinq hücumu ilə bağlı texniki nəticələr əldə edilib.

Aparılan təhlillər nəticəsində hücumda istifadə olunan infrastrukturun sxematik təsviri hazırlanıb, IP ünvanlar və yönləndirmə zəncirləri müəyyənləşdirilib, həmçinin hesabların ələ keçirilməsi prosesinə dair ətraflı məlumat əldə olunub.

Bu barədə Oxu.Az-a Elektron Təhlükəsizlik Xidmətindən məlumat verilib.

Araşdırma Xidmət tərəfindən əldə olunmuş mesajların birində qeyd olunan "12320sw[.]com" ünvanlı domen ilə başlayır. Domen "156[.]251[.]247[.]206" IP ünvanına "resolve" olunur (AS40065, CNSERVERS LLC). Bu IP birbaşa hər hansı məzmun təqdim etmir, əksinə, istifadəçini "p726exa[.]eu[.]cc" domen adına yönləndirir. Həmin domen isə eyni şəbəkədə yerləşən "156[.]251[.]247[.]204" IP ünvanına "resolve" olunur.

IP ünvanların araşdırılması nəticəsində digər anoloji ".com" domenləri aşkar edilib. Sözügedən domenlərə keçid etdiyimiz zaman digər "p726***.eu.cc" domenlərə keçidlər baş verir.

Bir neçə ".com" və ".eu.cc" domenlərin "resolve" olunduğu IP ünvanlara diqqət yetirdiyimiz zaman fişinq hücumunun ümumi zənciri və müəyyən qanunauyğunluq müşahidə edilib:

"12319ar[.]com", "12320se[.]com", "966575[.]com", "796676[.]com", "play-zotysports[.]com" və digər analoji domenlər 156[.]251[.]247[.]206 ünvanına "resolve" olunur;

Hər biri təsadüfi formalaşdırılmış "p726***.eu.cc" subdomenlərinə yönləndirilirdi;

"p726***.eu.cc" domenləri fişinq məzmunun yerləşdirilməsi üçün istifadə olunur və bu domenlərin hamısı 156[.]251[.]247[.]204 ünvanında yer alır.

İstifadəçilərin yönləndirildiyi səhifənin kod hissəsinə baxış keçirdiyimiz zaman orada Çin dilində şərhlərin mövcudluğu aşkar olunub:

Məlumatların ötürülmə mexanizminin təhlili göstərir ki, istifadəçi tərəfindən daxil edilən bütün məlumatlar serverə POST sorğusu vasitəsilə göndərilir. Bu yanaşma dələduza qurbanın telefon nömrəsinin və birdəfəlik kodunun (OTP) birbaşa nəzarətində olan serverinə ötürülməsinə şərait yaradır.

Təhlildən aydın olur ki, fişinq fəaliyyətləri bütövlükdə "AS40065" şəbəkəsində mərkəzləşdirilib. İnfrastrukturun eyni provayder üzərində toplanması, hücumçuların birdəfəlik domenləri tez-tez dəyişməsinə baxmayaraq, arxada sabit və idarəolunan texniki baza saxlamasına imkan verir. Bu cür mərkəzləşmə əməliyyatların davamlılığını təmin edir.

Şəbəkənizdə "156[.]251[.]247[.]0/24" diapazonunda yerləşən IP ünvanlarına diqqət yetirilməli, "156[.]251[.]247[.]204" və "156[.]251[.]247[.]206" və "162[.]209[.]234[.]146" ünvanlarına isə traffikin bloklanılması tətbiq olunmalıdır. Əlavə olaraq, şəbəkədə DNS sorğularının izlənilməsi vacibdir. Xüsusilə ".eu.cc" zonasında yerləşən subdomenlər nəzarətə götürülməlidir. Təhlillər göstərir ki, hücumçular çox vaxt aşağıdakı şablona uyğun adlardan istifadə edirlər:

p[0-9]{3}[a-z]{3}\.eu\.cc

Yuxarıda göstərilən bloklama və monitorinq tədbirlərinin tətbiqi, fişinq infrastrukturu ilə əlaqələrin vaxtında kəsilməsini, zərərli domenlərin trafikinə nəzarəti və hücumların daha erkən mərhələdə aşkarlanmasını təmin edəcəkdir. Bu yanaşma həm daxili şəbəkələrin qorunmasına, həm də istifadəçilərin fişinq səhifələrinə yönləndirilməsinin qarşısının alınmasına əhəmiyyətli dərəcədə kömək edəcək.

05.09.2025 tarixinə olan indikatorlar aşağıdakı cədvəldə təqdim edilib. Bundan əlavə, bu indikatorlar xidmət tərəfindən aktiv şəkildə istifadə olunan "misp.cert.az" - "İnsident Məlumatlarının Mübadiləsi Platforması"na da əlavə edilib. Fişinq sxeminə aid aşkarlanmış yeni indikatorların yuxarıda qeyd olunan sistemə əlavə olunması nəzərdə tutulub.