Malezya Kraliyet Polisi, 300’den fazla kimlik avı şablonu sağlayan kötü şöhretli BulletProftLink hizmet olarak kimlik avı (PhaaS) platformunun ele geçirildiğini duyurdu.
Operasyon 2015 yılında başladı ancak araştırmacıların radarına daha sonra geldi ve 2018’den bu yana daha aktif hale geldi ve binlerce abonesi vardı; bunların bir kısmı kimlik bilgisi günlüklerine erişim için para ödüyordu.
PhaaS platformları, siber suçlulara “kullanıma hazır” kitler ve şablonlar, sayfa barındırma, özelleştirme seçenekleri, kimlik bilgisi toplama ve ters proxy araçları aracılığıyla kimlik avı saldırıları gerçekleştirmeleri için araçlar ve kaynaklar sağlar.
BulletProftLink operasyonu daha önce belgelenmişti. 2020’de bir siber güvenlik uzmanı Gabor Szathmari üç bölümlük açık kaynaklı istihbarat araştırması serisinde ayrıntılı olarak açıklanmıştır [1, 2, 3] hizmet operatörünü lüks bir hayat yaşayan bir Malezya vatandaşıyla nasıl büyük bir güvenle ilişkilendirdiğini anlattı.
Eylül 2021’deki bir Microsoft raporu, kolaylaştırabileceği yüksek hacimli kimlik avı saldırıları ve alıcıların kullanımına sunulan çok sayıda şablon hakkında uyarıda bulundu. Hizmet ayrıca abonelerinin (o sırada 1.618) kimlik avı saldırılarında çaldığı tüm kimlik bilgilerini de topladı.
BulletProftLink bozuldu
Avustralya Federal Polisi ve FBI’ın yardımıyla Malezya polisi operasyonu sona erdirmeyi ve yasadışı mağaza tarafından kullanılan birden fazla alan adını kaldırmayı başardı.
Polis 6 Kasım’da sekiz kişiyi tutukladı; bunlardan biri operasyonun lideri olduğuna inanılan kendi kendini yetiştirmiş bir adamdı. Yetkililer ayrıca yaklaşık 213.000 dolar tutan kripto para cüzdanlarına, sunuculara, bilgisayarlara, mücevherlere, araçlara ve ödeme kartlarına da el koydu.
Sunuculara el konulduğunda kolluk kuvvetleri, platformun kullanıcılarını tespit etmek için bunları inceleyebilir; bunlardan bazıları, düzenli kimlik bilgileri günlüklerine erişmek için ayda 2.000 ABD Doları abonelik ücreti ödüyor.
Siber suç istihbarat şirketi Intel471, Nisan 2023 itibarıyla BulletProftLink’in 327 kimlik avı sayfası şablonuna erişimi olan 8.138 aktif abonesinin olduğunu söylüyor.
Bu, Microsoft’un 2021’deki raporundan bu yana müşteri sayısında %403’lük bir artışa işaret ediyor ve platformun siber suç topluluğundaki büyük popülerliğini yansıtıyor.
Intel 471, BulletProftLink’in kaldırılmadan önce sunduğu kimlik avı kaynaklarının “Microsoft Office, DHL, Güney Kore merkezli çevrimiçi platform Naver ve American Express, Bank of America, Consumer Credit Union ve Royal Bank of Canada gibi finans kurumları için giriş sayfalarını içerdiğini” söylüyor “
Bu kimlik avı sayfalarından bazıları, e-posta güvenlik araçlarından kaçınmak için Google Cloud ve Microsoft Azure gibi meşru bulut hizmetlerinde barındırıldı.
BulletProftLink’in envanteri ayrıca, çok faktörlü kimlik doğrulama korumalarını atlayabilen, ortadaki düşman (AITM) kimlik avı saldırılarına olanak tanıyan Evilginx2 ters proxy aracını da sunuyordu.
Operasyon, profesyonel siber suçluların kurumsal sistemlere ilk erişim sağlamaları için önemli bir kimlik bilgisi kaynağıydı. Saldırganlar, şirket ağında bir yer edinerek keşif aşamasını başlatabilir ve değerli ana bilgisayarlara doğru ilerleyebilir.