中国語圏のサイバー犯罪エコシステムで活動するデータブローカーが、大規模な企業データ流出の主張で暗黒網フォーラムとTelegramチャネルを溢れさせている。
しかし、最近の脅威インテリジェンスによると、これらの大きく宣伝されているリークは、実は新たな侵害ではなく、より古いブリーチから派生した「リードデータ」である。
脅威アクターは以前公開された情報をリサイクルし、それを偽造されたレコードと混合することで、世界中のセキュリティチーム向けの大規模な時間浪費を生み出している。
Group-IBの研究者は、このトレンドを駆動している5つの著名なソースを特定しており、それには暗黒網フォーラム、Exchange MarketとChang’An Sleepless Night、およびAiqianjin、Yiqun Data、Phoenix Overseas ResourcesなどのTelegramブローカーが含まれている。
これらのアクターは、極めて短い期間で世界的な組織から盗まれたと言われる数十万のレコードを頻繁に宣伝している。
これらの投稿の投稿量は月に500件以上のメッセージに達することが多く、もしこれらの主張が本当であれば、前例のないサイバー攻撃の波を表すことになる。
これらの詐欺的データベースを構築するために、ブローカーは個人識別情報を含む大規模な歴史的リークに大きく依存している。
その後、この個人データを2020年のEatigo事件などの関連のない違反からのパスワードハッシュと組み合わせて、新たに侵害された企業データベースという見た目を作成している。
具体的な例は、これらのデータセットがいかに無造作に組み立てられているかを示している。
たとえば、Aiqianjinとして知られるTelegramブローカーが湾岸の金融機関から600,000件以上の銀行口座データのレコードを売却すると主張した際、相互参照によると名前と電話番号はFacebookから直接取得されていたことが判明した。
同様に、ブローカーPhoenix Overseas Resourcesは投資サービスから760,000件のレコードを宣伝していたが、それらのサンプルデータはTruecallerのリークから侵害されたメールアドレスと一致していた。
これらのブローカーによって提供されるサンプルデータを検査する場合、セキュリティアナリストは詐欺を明かす明らかな矛盾を容易に発見できる:
脅威アクターはまた、彼らの操作を明かす高度に構造化された投稿フォーマットも使用している。
翻訳元: https://cyberpress.org/old-breaches-resurface-online/