Reklam
MicrosoftSecurity

Bir hizmet olarak kimlik avı işlemi, karı artırmak için çifte hırsızlık kullanır

Bir hizmet olarak kimlik avı işlemi, karı artırmak için çifte hırsızlık kullanır

Microsoft, son kimlik avı saldırılarını araştırırken tespit ettiği büyük ölçekli bir hizmet olarak kimlik avı (PhaaS) operasyonu olan BulletProofLink’in, son zamanlarda birçok kurumsal kuruluşu hedef alan birçok kimlik avı kampanyasının arkasındaki itici güç olduğunu söylüyor.

Arkasındaki tehdit aktörü BulletProofLink (BulletProftLink ve Anthrax olarak da bilinir) siber suçlulara kimlik avı kitleri ve e-posta şablonları satmaktan tek bir ödeme veya aylık abonelik tabanlı iş modeli kapsamında barındırma ve otomatik hizmetler sağlamaya kadar çeşitli hizmetler sunar.

“Kimlik avı saldırılarını araştırırken, oldukça yüksek hacimli yeni oluşturulmuş ve benzersiz alt alan adları kullanan bir kampanyayla karşılaştık—tek seferde 300.000’den fazla” Microsoft 365 Defender Tehdit İstihbarat Ekibi dedim.

“Bilinen markaları ve hizmetleri taklit eden 100’den fazla mevcut kimlik avı şablonuyla, günümüzde işletmeleri etkileyen birçok kimlik avı kampanyasından BulletProofLink operasyonu sorumludur.”

BulletProofLink tehdit aktörü ilk olarak Ekim 2020’de üç bölümlük bir dizi yayınlayan OSINT Hayranları tarafından tespit edildi. [1, 2, 3] Bu PhaaS operasyonunun bazı iç işleyişini açığa çıkarmak.

Açıkladıkları gibi, Bulletproftlink ICQ grup sohbeti geçen yıl 1.618 üyeye sahipti, “çalınan şifrelerin ve Bulletproftlink kimlik avı hizmetlerinin tüm potansiyel alıcıları.”

BPL Faa'ları
Resim: Microsoft

Karları artırmak için kullanılan çifte hırsızlık

BulletProofLink tarafından etkinleştirilen büyük ölçekli kimlik avı kampanyaları da, fidye yazılımı çeteleri tarafından kullanılan çifte gasp yöntemine çok benzer şekilde tehdit aktörünün karını artırmayı amaçlayan bir yöntem olan “çifte hırsızlık” kullanır.

Microsoft’un bahsettiği çifte hırsızlık, kimlik avı saldırılarında çalınan kimlik bilgilerinin, kampanyada kullanılan kimlik avı kitleri varsayılan yapılandırmalarını kullanması durumunda PhaaS operatörleri tarafından kontrol edilen ikincil bir sunucuya da gönderildiği bir taktiktir.

Bu şekilde, hizmetlerini kullanan siber suçlular, çalınan verileri yalnızca kendi sunucularına sızdırmak için kimlik avı kitlerini özelleştirmezse, BulletProofLink müşterileri tarafından toplanan kimlik bilgileri, bir hizmet olarak kimlik avı operatörüne de gönderilir.

Microsoft, “Hem fidye yazılımında hem de kimlik avında, saldırıları kolaylaştırmak için kaynaklar sağlayan operatörler, çalınan veriler, erişim ve kimlik bilgilerinin mümkün olduğunca çok şekilde kullanılmasını sağlayarak para kazanmayı en üst düzeye çıkarır.”

“Bu, BulletProofLink kimlik avı kiti için geçerlidir ve hizmeti kullanan saldırganların bir haftanın sonunda kendileri kampanya yürütmek yerine kimlik bilgileri ve günlükleri aldıkları durumlarda, PhaaS operatörü sattıkları tüm kimlik bilgilerinin kontrolünü elinde tutar.”

Bu taktiği kullanan PhaaS operatörleri, fazla çaba harcamadan kârlarını artırır, onları daha fazla motive eder ve devam eden operasyonlarını finanse eder.

BulletProofLink özellikli kampanyaların kimlik avı saldırı zinciri
BulletProofLink özellikli kampanyaların kimlik avı saldırı zinciri (Microsoft)

Sonsuz alt alan kötüye kullanımı

Tehdit aktörü ayrıca, Microsoft’un “sonsuz alt etki alanı kötüye kullanımı” olarak adlandırdığı ve saldırganların saldırılardan önce güvenliği ihlal edilmiş veya satın alınmış tek bir etki alanı kullanırken her bir kimlik avı alıcısı için benzersiz URL’ler atamasını mümkün kılan bir teknik kullandığını da gözlemlemiştir.

Bu taktik, saldırganlar bir web sitesinin DNS’sini tehlikeye atabildiğinde veya güvenliği ihlal edilen siteler, sınırsız joker karakter alt alan adlarına izin veren bir DNS kullanılarak yapılandırıldığında kullanılır.

Sınırsız alt etki alanı kötüye kullanımı, bir kimlik avı kampanyasına harcanan çabayı en aza indirirken, herhangi bir zamanda dağıtılmaya hazır mevcut benzersiz etki alanlarının sayısını en üst düzeye çıkardığı göz önüne alındığında, giderek daha popüler bir taktiktir.

Ayrıca, “benzersiz URL’lerin oluşturulması, yalnızca etki alanları ve URL’ler için tam eşlemeye dayanan azaltma ve tespit yöntemleri için bir zorluk teşkil etmektedir.”

Microsoft, “Bu raporun yayınlandığı tarihte, BulletProofLink, meşru web barındırma sağlayıcılarından parola işleme bağlantılarına büyük miktarda yeniden yönlendirme ile aktif kimlik avı kampanyaları yürütmeye devam ediyor.”


Source link

Başa dön tuşu

Reklam Engelleyici Algılandı

Lütfen reklam engelleyiciyi devre dışı bırakarak bizi desteklemeyi düşünün