微軟揭露一次可操作30萬個子網域的BulletProofLink網釣即服務

微軟Microsoft 365 Defender威脅情報團隊在21日，揭露了一個規模龐大的網釣即服務BulletProofLink，該服務建立了逾30萬子網域，供應超過100種不同品牌與服務的網釣範本，提供一次性租賃或按月訂閱服務，而且還會把客戶執行攻擊所竊取的憑證收歸己有。

根據微軟的調查，BulletProofLink同時推出了網釣套件及網釣即服務（PhaaS），前者只要支付一次性的價格，便能取得網釣電子郵件及網站的範本，PhaaS則是訂閱服務，除了電子郵件及網站範本之外，還提供郵件遞送、網站代管、竊取憑證、憑證遞送與不被偵測的連結／紀錄等，等於是個一站購足的服務。

圖片來源_微軟

此外，不管是套件或是PhaaS，BulletProofLink都實施了雙重竊盜手法，在網釣套件中嵌入一個程式，把客戶所竊取的憑證傳送一份至BulletProofLink，而在PhaaS上也留下一份被竊憑證的副本。

BulletProofLink從2018年就開始運作，而且有許多別名，包括BulletProftLink、BulletProofLink與Anthrax，並在YouTube及Vimeo上設有官方頻道，也透過駭客論壇或其它網站來行銷網釣服務。

圖片來源_微軟

分析顯示，BulletProofLink的經營者也許是透過危害網站的DNS，或是所危害的網站剛好允許Wildcard子網域，而使得他們得以無限地濫用這些子網域，只要滲透一個網域，就能提供獨立的網釣網址予每個受害者，這可節省駭客的成本，創造大量的網釣網域，也更容易躲過惡意網域的偵測機制。

BulletProofLink所發送的電子郵件還利用zero-point font技術，於郵件中隱藏不可見的字元，來混淆郵件主體與企圖閃避偵測。

在研究了BulletProofLink的手法及技術之後，微軟已把所得到的情報用來改善Microsoft Defender for Office 365，強化其防範網釣攻擊的能力。