Siber güvenlik manzarası, Çince konuşan tehdit aktörleri tarafından geliştirilen sofistike bir hizmet olarak kimlik avı (PHAAS) platformu olan Lucid’in ortaya çıkmasıyla bozuldu.
Bu gelişmiş araç seti, siber suçluların küresel olarak 88 ülkede 169 varlığı hedefleyen büyük ölçekli kimlik avı kampanyaları yürütmesini sağlar.
Lucid’in inovasyonu, geleneksel SMS tabanlı algılama mekanizmalarını atlatmak için zengin iletişim hizmetlerinden (RCS) ve Apple’ın iMessage protokolünü kullanmasında yatmaktadır.
Bu IP tabanlı mesajlaşma hizmetlerinden yararlanarak, tehdit aktörleri, genellikle telekom sağlayıcıları tarafından spam ile mücadele etmek için kullanılan ağ düzeyinde filtrelemeyi atlayabilir.
Xinxin Group Spearheads Phas ekosistem
Lucid’in arkasındaki birincil operatör olarak tanımlanan ksinxin grubu, birbirine bağlı PHAAS platformlarının karmaşık bir ekosistemini oluşturmuştur.
Lucid’in yanı sıra, grup Darcula ve Deniz Feneri’ni kullanıyor ve yüksek derecede koordinasyon ve paylaşılan altyapı gösteriyor.
Xinxin grubu içinde önemli bir figür olan Larva-242, Lucid’in geliştiricisi ve yöneticisi olarak hizmet vermektedir.
Platformun operasyonları, yöneticiler, müşteri hizmetleri temsilcileri ve hizmete erişim satın alan iştirakler de dahil olmak üzere yapılandırılmış bir hiyerarşi tarafından desteklenmektedir.
Teknik sofistike ve küresel erişim
Lucid’in teknik yetenekleri zorludur. Platform, özelleştirilebilir kimlik avı şablonları, mağdur etkileşimlerinin gerçek zamanlı izlenmesi ve otomatik saldırı dağıtım mekanizmaları sunar.
Rapora göre, altyapısı 129 aktif örnek ve 1.000’den fazla kayıtlı alan içeriyor ve onu küresel olarak en önemli PHAAS platformları arasında konumlandırıyor.
Platformun hedeflemesi, posta hizmetlerini, kurye şirketlerini, ücretli ödeme sistemlerini ve finansal kurumları kapsayan çeşitlidir.
Kampanyalar, mağdurları kredi kartı detayları ve kişisel olarak tanımlanabilir bilgiler (PII) dahil olmak üzere hassas bilgiler sağlamaya aldatmaları için meşru kuruluşları taklit etmektedir.
Lucid’in kaçırma teknikleri özellikle dikkat çekicidir.
Platform, kimlik avı sitelerinin ömrünü uzatmak için IP engelleme, kullanıcı aracı filtreleme ve sofistike gizleme yöntemleri kullanır.
Ayrıca, çalınan ödeme verilerinin verimli doğrulanması ve kullanımı için yerleşik bir kart jeneratörüne sahiptir.
Lucid’in ve ilişkili platformlarının ortaya çıkması, yeraltı ekonomisinde önemli bir değişime işaret ediyor.
Çince konuşan tehdit aktörleri, operasyonlarında artan inovasyon ve ölçeklenebilirlik göstererek mevcut siber güvenlik paradigmalarına meydan okuyor.
Bu PHAAS platformları gelişmeye devam ettikçe, dinamiklerini anlamak ve tespit mekanizmalarını geliştirmek, küresel siber güvenlik üzerindeki etkilerini azaltmak için çok önemli olacaktır.
SOC/DFIR ekiplerinden misiniz? -Kötü amaçlı yazılımları, kimlik avı olaylarını analiz edin ve herhangi biriyle canlı erişim sağlayın. Run -> Şimdi ücretsiz başlayın.