Malezya kolluk kuvvetleri, hizmet olarak kimlik avı (PhaaS) operasyonunun durdurulduğunu duyurdu. Kurşun Geçirmez Bağlantı.
Malezya Kraliyet Polisi, 6 Kasım 2023’te Avustralya Federal Polisi (AFP) ve ABD Federal Soruşturma Bürosu’nun (FBI) yardımıyla yürütülen çabanın, platformun arkasındaki tehdit aktörlerinin ülke dışına dayanmaktadır.
New Straits Times’ın haberine göre, bu amaçla, aralarında örgütün beyni de bulunan, yaşları 29 ile 56 arasında değişen sekiz kişi Sabah, Selangor, Perak ve Kuala Lumpur’un farklı yerlerinde tutuklandı.
Tutuklamaların yanı sıra yetkililer, yaklaşık 213.000 dolar içeren sunuculara, bilgisayarlara, mücevherlere, araçlara ve kripto para cüzdanlarına da el koydu.
BulletProftLink olarak da adlandırılan BulletProofLink, kimlik bilgisi toplama kampanyaları yürütmek için diğer aktörlere abonelik temelinde kullanıma hazır kimlik avı şablonları sunmasıyla biliniyor. Bu şablonlar American Express, Bank of America, DHL, Microsoft ve Naver gibi tanınmış hizmetlerin giriş sayfalarını taklit eder.
Microsoft’un Eylül 2021’de yaptığı bir analize göre BulletProofLink aktörleri, çalınan kimlik bilgilerinin hem müşterilerine hem de temel geliştiricilere gönderildiği ve bunun sonucunda ek para kazanma yolları elde edildiği çifte hırsızlık olarak adlandırılan bir eyleme de girişti.
Siber güvenlik firması Intel 471 geçen hafta “BulletProftLink, TheGreenMY ve AnthraxLinkers çevrimiçi takma adlarını da kullanan tehdit aktörü AnthraxBP ile ilişkilidir” dedi.
“Aktör, kimlik avı hizmetlerinin reklamını yapan aktif bir web sitesine sahipti. Aktörün yeraltında geniş bir alanı var ve birden fazla tanıtıcı kullanarak çok sayıda açık web yeraltı forumunda ve Telegram kanalında faaliyet gösteriyor.”
En az 2015’ten beri aktif olduğuna inanılan BulletProftLink’in çevrimiçi mağazasının, Nisan 2023 itibarıyla en az 8.138 aktif müşteriye ve 327 kimlik avı sayfası şablonuna sahip olduğu tahmin ediliyor.
Dikkate değer bir diğer özellik ise, tehdit aktörlerinin oturum çerezlerini çalmasını ve çok faktörlü kimlik doğrulama korumalarını atlamasını mümkün kılan ortadaki düşman (AiTM) saldırılarını kolaylaştırmak için Evilginx2’nin entegrasyonudur.
Intel 471, “BulletProftLink gibi PhaaS programları daha sonraki saldırılar için yakıt sağlıyor” dedi. “Çalınan oturum açma bilgileri, kötü niyetli bilgisayar korsanlarının kuruluşlara erişmesinin başlıca yollarından biridir.”
Tehdit aktörlerinin kesintilere yanıt olarak taktiklerini sürekli olarak güncellediklerinin ve daha karmaşık yaklaşımlar benimsediklerinin bir işareti olarak, AiTM saldırılarının, DRACOON gibi dosya paylaşım çözümlerinde barındırılan ve düşman kontrolündeki altyapıya giden URL’leri içeren belgelere giden aracı bağlantıları kullandığı da gözlemlendi.
“Bu yeni yöntem, ilk bağlantı meşru bir kaynaktan geliyor gibi göründüğünden ve bağlantıyı içeren barındırılan belgeyle tarayıcı içindeki dosya paylaşım sunucusu aracılığıyla etkileşime girilebildiğinden kurbanın uç noktasına hiçbir dosya teslim edilmediğinden, e-posta güvenliği azaltımlarını atlayabilir. ” dedi Trend Micro.
Bu gelişme, 33 yaşındaki Sırp ve Hırvat vatandaşı Milomir Desnica’nın ABD’de karanlık ağda Monopoly Market adlı bir uyuşturucu kaçakçılığı platformu işletmek ve ABD’li müşterilere 30 kilogramdan fazla metamfetamin dağıtmak için komplo kurmak suçunu kabul etmesi sonrasında geldi.
Desnica tarafından 2019 yılında kurulan yasa dışı pazar yeri, Almanya ve Finlandiya ortaklığında koordineli bir uygulama kapsamında Aralık 2021’de çevrimdışına alındı. Desnica, Kasım 2022’de Avusturya’da tutuklandı ve Haziran 2023’te uyuşturucu kaçakçılığı suçlamalarıyla yüzleşmek üzere ABD’ye iade edildi.