Microsoft ve Cloudflare, Microsoft 365 hesap kimlik bilgilerini çalmak için Raccoono365 kitini satan bir Hizmet Olarak Kimlik Yardım Operasyonu’nu bozdu.
“New York’un Güney Bölgesi tarafından verilen bir mahkeme emrini kullanarak, [we] Popüler hizmetle ilişkili 338 web sitesini ele geçirdi, operasyonun teknik altyapısını bozdu ve suçluların kurbanlara erişimini azalttı ”dedi.
Raccoono365’in arkasında kim var?
Raccoono365 (aka Storm-2246), düşük vasıflı saldırganların Docusign, SharePoint, Adobe ve Maersk gibi güvenilir markaları taklit eden e-postaları göndermesine izin veren önceden paketlenmiş, abonelik tabanlı kimlik avı kitleri sattı.
Cloudflare, “Mağdur kimlik bilgilerine girdiğinde, kit, Microsoft’un sunucularına kimlik doğrulama akışını proxying ve saldırganın sadece şifreyi değil, aynı zamanda ortaya çıkan oturum çerezini de etkili bir şekilde atlayarak MFA’yı geçmesine izin veren ortada bir düşman görevi görüyor” dedi.
Bir Raccoono365 müşterisi tarafından kurulan bir kimlik avı sayfası (Kaynak: Cloudflare)
Microsoft gizlice kimlik avı kitlerini ve grubun talimatlarını satın aldı ve bu da grubun kripto para birimi işlemlerini izlemelerini sağladı.
Tehdit aktörleri tarafından operasyonel bir güvenlik atlaması – yani gizli bir kripto para cüzdanının yanlışlıkla ifşası – Microsoft’un grubun operasyonlarını anlamasına ve nihayetinde Raccoono365 grubunun lideri Joshua Ogundepe’ye bir isim koymasına yardımcı oldu.
Nijerya merkezli adam, ortaklarıyla birlikte, hizmet/aracı özel bir kanal aracılığıyla pazarlamak için Telegram kullanıyor.
“Microsoft’un analizine dayanarak, Ogunipe’nin bilgisayar programlamasında bir geçmişi var ve kodun çoğunluğunu yazdığına inanılıyor.”
Diğer sanıklardan ikisi idari ve teknik destek sağlar ve hizmetin satılmasına yardımcı olurken, diğer ikisi Raccoom0365 kimlik avı kitini satın alan, yeni bir kimlik avı alanları kaydeden ve bunu grubun teknik altyapısına dahil eden siber suçlardır.
Ağustos ayında Microsoft, Ogundipe ve dört isimsiz çalışanlara karşı bir dava açtı.
Sırada ne var?
Cloudflare, Raccoono365 platformunun bir dizi suçluya hitap etmek için yapılandırılmış tekliflerle katmanlı bir fiyatlandırma modeli üzerinde çalıştığını söylüyor.
Şirket, “Planlar, 355 $ için 30 günlük bir plan ve 999 $ için 90 günlük bir plan gibi çeşitli sürelerde satılıyor. Hizmet, USDT (TRC20, BEP20, Polygon) ve Bitcoin (BTC) dahil olmak üzere kripto para birimlerini kabul ediyor” diye açıkladı.
Şimdiye kadar, grup ceza işletmeleri aracılığıyla en az 100.000 dolar kazandı ve teklifini geliştirmeye devam ediyor. Reklamı yapılan en son ekleme, operasyonları ölçeklendirmek ve saldırıların etkinliğini artırmak için tasarlanmış Raccoono365 AI-PailCheck’tir.
Masada, “Ogunipe için bir cezai sevk, uluslararası kolluk kuvvetlerine gönderildi,” diye ekledi Masada ve bir dava açmanın sadece başlangıç olduğunu belirtti.
“Her zaman aktörlerin operasyonlarını yeniden inşa etmeye çalışmasını bekliyoruz. Bu, DCU’nun yeni veya yeniden ortaya çıkan altyapıyı ortadan kaldırmak için davada ek yasal adımlar atmaya devam edeceği anlamına geliyor” dedi.
En son ihlalleri, güvenlik açıklarını ve siber güvenlik tehditlerini asla kaçırmak için Breaking News e-posta uyarımıza abone olun. BURADA Abone Olun!