FBI, Nisan 2024’te sökülen en büyük küresel kimlik avı (PHAAS) platformlarından biri olan Labhost siber suç platformuna bağlı 42.000 kimlik avı alanını paylaştı.
Yayınlanan alanlar Kasım 2021 ve Nisan 2024 arasında, nöbet süresi arasında kaydedildi ve farkındalığı artırmak ve uzlaşma göstergeleri sağlamak için paylaşılıyor.
Labhost operasyonları ve yayından kaldırma
Labhost, ayda 179 ila 300 dolar arasında bizi ve Kanada bankalarını hedefleyen kapsamlı bir kimlik avı kitine erişim satan önemli bir PHAAS platformuydu.
Kapsamlı özelleştirme seçenekleri, gelişmiş 2FA-bypassing mekanizmaları, kurbanlarla otomatik SMS tabanlı etkileşimler ve gerçek zamanlı bir kampanya yönetim paneli içeriyordu.
2021’de piyasaya sürülmesine rağmen, Labhost’un PHAAS pazarındaki büyük oyunculardan birine dönüştüğü ve popülerlik ve saldırı hacminde yerleşik varlıkları aşan 2023’ün sonlarında/2024 başlarında oldu.
Labhost’un 1.000.000’den fazla kullanıcı kimliği ve yaklaşık 500.000 kredi kartı kaydı çaldığı tahmin edilmektedir.
Nisan 2024’te, 19 ülkedeki soruşturmalarla desteklenen küresel bir kolluk operasyonu, o zamanlar dünya çapında 10.000 müşteriye sahip olan platformun sökülmesine yol açtı.
Kaynak: BleepingComputer
70 adreste eşzamanlı aramalar sırasında, Labhost ile bağlantılara sahip olduğundan şüphelenilen 37 kişi tutuklandı.
Labhost operasyonu artık aktif olmasa da ve paylaşılan 42.000 alan şu anda kötü niyetli işlemlerde kullanılmasa da, siber güvenlik firmaları ve savunucuları için hala önemli bir değer var.
İlk olarak, etki alanı listesi, tehdit aktörlerinin gelecekteki saldırılarda herhangi birini geri dönüştürme veya yeniden kaydetme riskini azaltmak için bir blok listesi oluşturmak için kullanılabilir.
Liste, güvenlik ekipleri tarafından Kasım 2021’den Nisan 2024’e kadar bu alanlarla geçmiş bağlantıları tespit etmek ve daha önce tespit edilmemiş ihlalleri tanımlamak için günlükleri geriye dönük olarak taramak için de kullanılabilir.
Nihayetinde, liste siber güvenlik profesyonellerinin PHAAS platformlarındaki etki alanı kalıplarını analiz etmelerine yardımcı olabilir, atıf ve istihbarat korelasyonuna yardımcı olabilir ve kimlik avı tespit modeli eğitimi için gerçekçi veriler sağlayabilir.
Liste, doğrulanmadığına dair bir dikkat notu ile paylaşılır, bu nedenle hatalar olabilir.
FBI, “FBI her alan adını doğrulamadı ve liste Labhost kullanıcı girişinden tipografik veya benzer hatalar içerebilir.”
“Bilgi doğada tarihseldir ve alanlar şu anda kötü niyetli olmayabilir.”
FBI ayrıca, bu listenin analizinin aynı altyapıya bağlı ek alanlar ortaya çıkarabileceğini, bu nedenle listenin kapsamlı olmayabileceğini kaydetti.