상세 컨텐츠

본문 제목

2018년부터 활동해온 대규모 서비스형 피싱 공격인 BulletProofLink 발견

국내외 보안동향

by 알약4 2021. 9. 24. 09:00

본문

 

 

BulletProofLink, a large-scale phishing-as-a-service active since 2018

 

마이크로소프트의 연구원들이 BulletProofLink(Anthrax)라 명명된 대규모 서비스형 피싱(PhaaS; Phishing-as-a-Service) 작전을 발견했습니다.

 

이들은 고객에 피싱 공격을 실행하기 위한 피싱 키트, 이메일 템플릿, 호스팅, 자동화 서비스를 제공합니다. BulletProofLink 서비스는 매우 저렴한 편이며 특정 기술이 없이도 공격자가 피싱 캠페인을 계획할 수 있도록 했습니다.

 

마이크로소프트는 공격자가 제어하는 ​​사이트나 BulletProofLink에서 PhaaS 서비스의 일부로 제공한 사이트에서 BulletProofLink 피싱 키트를 사용한 캠페인을 조사하던 중 해당 공격을 발견했습니다. 이 작업은 2020 10 OSINT Fans에서 처음으로 문서화했습니다.

 

BulletProofLink 작전은 인기 있는 브랜드 및 서비스를 모방한 피싱 템플릿 100개 이상을 제공하며, 전문가들은 최근 기업을 공격하는 많은 피싱 캠페인의 원인으로 이 작전을 지목했습니다.

 

BulletProofLink 2018년부터 활동해 왔으며, 여러 공격자가 일회성 또는 월간 구독 기반 비즈니스 모델을 통해 해당 서비스를 이용했습니다.

 

BulletProofLink는 온라인 상점을 통해 한 달에 800달러 상당의 서비스를 광고하며, 고객이 뉴스레터를 구독할 경우 주문 금액의 10%를 할인해 주기도 했습니다.

 

마이크로소프트는 이 대규모 피싱 캠페인의 흥미로운 점 중 하나로 '이중 탈취'를 꼽았습니다. 해당 서비스를 이용하는 고객이 피싱 키트를 기본 구성으로 사용할 경우 그들이 훔친 자격 증명이 피싱 서비스의 운영자에게도 전송됩니다.

 

운영자는 이 이중 탈취전략으로 피해자의 자격 증명을 언더그라운드 사이버 범죄 포럼에서 판매해 수익을 극대화했습니다.

 

 

<이미지 출처 : https://www.microsoft.com/security/blog/2021/09/21/catching-the-big-fish-analyzing-a-large-scale-phishing-as-a-service-operation/>

 

  

이에 마이크로소프트는 다음과 같이 설명했습니다. 

 

"피싱 키트 운영자는 피싱 키트 내에 자격 증명을 전송할 보조적인 위치를 포함하고 해당 키트의 구매자가 코드를 변경해 이를 제거하지 않기를 바랍니다. BulletProofLink 피싱 키트 운영자도 마찬가지며, 서비스를 사용하는 공격자가 캠페인을 직접 수행하는 대신 일주일 말에 자격 증명과 로그를 수신할 경우 서비스형 피싱 운영자는 모든 크리덴셜을 재판매합니다. 랜섬웨어와 피싱 공격을 위한 리소스를 제공하는 운영자는 도난당한 데이터, 접근 권한, 자격 증명을 최대한 다양하게 활용해 수익을 극대화합니다. 또한 피해자의 자격 증명은 언더그라운드 포럼에 남을 가능성이 있습니다.”

 

 

 

 

출처:

https://securityaffairs.co/wordpress/122503/cyber-crime/bulletprooflink-phishing-phaas.html

https://www.microsoft.com/security/blog/2021/09/21/catching-the-big-fish-analyzing-a-large-scale-phishing-as-a-service-operation/

관련글 더보기

댓글 영역