Kraliyet Malezya polisi, 300'den fazla kimlik avı şablonu sağlayan kötü şöhretli BulletproftLink Kimlik Avı (PHAAS) platformunun ele geçirildiğini açıkladı.
Operasyon 2015 yılında başladı, ancak daha sonra araştırmacıların radarına geldi ve 2018'den beri daha aktif hale geldi ve bazıları kimlik bilgisi günlüklerine erişim için ödeme yapan binlerce aboneye sahipti.
PHAAS platformları, “kullanıma hazır” kitler ve şablonlar, sayfa barındırma, özelleştirme seçenekleri, kimlik bilgisi hasat ve ters proxy araçları aracılığıyla kimlik avı saldırılarını gerçekleştirmek için siber suçlulara araçlar ve kaynaklar sağlar.
BulletProftLink işlemi daha önce belgelenmiştir. 2020'de, bir siber güvenlik uzmanı Gabor Szathmari, üç bölümlük bir dizi açık kaynaklı zeka araştırmasında [1, 2, 3] detaylandırıldı [1, 2, 3] Hizmetin operatörünü lüks bir hayat yaşayan bir Malezya ulusal ile nasıl yüksek güvenle ilişkilendirdi.
Eylül 2021'deki bir Microsoft raporu, kolaylaştırabileceği yüksek hacimli kimlik avı saldırıları ve alıcılar için mevcut olan çok sayıda şablon hakkında uyardı. Hizmet ayrıca abonelerinin (o sırada 1.618) tüm kimlik bilgilerini kimlik avı saldırılarında çaldı.
Avustralya Federal Polisi ve FBI tarafından desteklenen Malezya Polisi, operasyonu sökmeyi ve yasadışı mağaza tarafından kullandığı birden fazla alanı indirmeyi başardı.
Polis, 6 Kasım'da sekiz kişiyi tutukladı, bunlardan biri operasyonun lideri olduğuna inanılan kendi kendini yetiştirmiş bir adam. Yetkililer ayrıca yaklaşık 213.000 dolar, sunucular, bilgisayarlar, mücevherler, araçlar ve ödeme kartlarına sahip kripto para cüzdanları ele geçirdi.
Sunuculara el konulduğunda, kolluk kuvvetleri platform kullanıcılarını tanımlamak için bunları inceleyebilir, bazıları düzenli kimlik bilgileri kütüklerine erişmek için 2.000 $/aylık bir abonelik ücreti ödeyebilir.
Siber suç istihbarat şirketi Intel471, Nisan 2023'ten itibaren BulletProftLink'in 327 kimlik avı sayfası şablonuna erişimi olan 8.138 aktif aboneye sahip olması.
Bu, Microsoft’un 2021'deki raporundan bu yana, platformun siber suç topluluğundaki büyük popülaritesini yansıtan müşterilerde% 403'lük bir artış.
Intel 471, çekilmeden önce sunulan kimlik avı kaynakları BulletproftLink'in "Microsoft Office için oturum açma sayfaları, DHL, Güney Kore merkezli çevrimiçi platform naver ve American Express, Bank of America, Tüketici Kredi Birliği ve Kraliyet Bankası gibi finansal kurumlar dahil . "
Bu kimlik avı sayfalarından bazıları, e -posta güvenlik araçlarından kaçmak için Google Cloud ve Microsoft Azure gibi meşru bulut hizmetlerinde barındırıldı.
BulletProftLink'in envanteri ayrıca, çok faktörlü kimlik doğrulama korumalarını atlayabilen ortada düşman (AITM) kimlik avı saldırılarını sağlayan EvilGinX2 ters proxying aracını da sundu.
Operasyon, profesyonel siber suçluların kurumsal sistemlere ilk erişim elde etmek için önemli bir kimlik bilgileri kaynağıydı. Şirket ağındaki bir dayanakla, saldırganlar keşif aşamasına başlayabilir ve lateral olarak değerli ev sahiplerine geçebilir.
Hizmet olarak kimlik avı operasyonu, karları artırmak için çifte hırsızlık kullanır
Avusturya'daki Pirate IPTV ağı söküldü ve 1.74 milyon dolar ele geçirildi
İspanya, 4 milyon insanın verilerini çalan 34 siber suçlu tutukladı
EvilProxy, Microsoft 365 Kimlik avı için gerçekten açık yönlendirmeyi kullanıyor
OKTA bir kerelik MFA Passcodes Twilio Cyberattack'da maruz kaldı
Kaynak: Bleeping Computer