ロシアの国家支援および犯罪的ハッキンググループは、公開されたリモートデスクトッププロトコル(RDP)サービスや脆弱なVPNゲートウェイをますます悪用し、ターゲットネットワークへひそかに侵入したうえで、そのアクセス権をスパイ活動やランサムウェアのために転売または武器化しています。
この手口の変化により、基本的なリモートアクセスの設定ミスが、ロシア語地下フォーラムでイニシャルアクセスブローカーに取引される高価値な侵入口へと変貌しています。
ロシア系の脅威アクターやアクセスブローカーは、弱いパスワード・古いソフトウェア・設定ミスのあるシステムを狙い、開放されたRDPポートや保護の甘いVPNゲートウェイをインターネット上で常時スキャンしています。
セキュリティ研究者は、10万件を超える固有IPアドレスを使用するボットネットがタイミング攻撃やログイン列挙によってRDPサービスを叩いていることを確認しており、守備側がIPアドレスだけに基づいて攻撃をブロックすることを困難にしています。
これらの攻撃では、自動化されたクレデンシャルスタッフィングおよびブルートフォース攻撃と、VPNアプライアンスやリモートアクセスゲートウェイの既知の脆弱性悪用が組み合わされることが多いです。
RDPやVPNエンドポイントが侵害されると、そのアクセス権は一度きりで使われることはほとんどありません。
専門のイニシャルアクセスブローカーは有効なRDPおよびVPNの認証情報を収集し、企業規模・所在地・権限レベルといった詳細情報を付与したうえで、ダークウェブのマーケットでランサムウェアアフィリエイトやスパイ活動に特化したAPTグループに競売にかけます。
最近のインテリジェンスレポートによると、RDPはこれらのブローカーが販売するアクセスタイプの中で依然として主要な位置を占めており、より多くの組織がリモートアクセスゲートウェイの背後にサービスを移行するにつれてVPNアクセスも急速に増加しています。
欧州やウクライナの政府および重要インフラネットワークを狙った最近の多くの攻撃では、ロシア系グループがメールフィッシング・VPN悪用・侵害後のRDP乱用を連鎖させて使用しています。
フィッシングの誘導により、ユーザーは悪意あるRDP設定ファイルを開いたり、偽のポータルへ誘導するリンクをクリックするよう仕向けられました。同時に、攻撃者はインターネットに公開された古いVPNおよびRDPサービスのスキャンも並行して実施していました。
このエコシステムはランサムウェア経済と密接に結びついています。ランサムウェアグループとその関係者はブローカーが販売する既成のアクセス権に依存しており、騒々しいスキャンをスキップして、有効なRDPまたはVPN認証情報を持つ高価値な標的に直接アクセスすることができます。
2025年のウクライナおよび欧州のサイバー機関によるインテリジェンスでは、ロシア語話者の脅威アクターがRDPまたはVPN経由で足場を確立した後、数日から数週間にわたる静かな横移動を経てX2、LockBit 3.0などのランサムウェアファミリーを展開した事例が複数報告されています。
rnboの調査によると、防御側は大規模な自動化されたRDP/VPN攻撃と、高度なロシアAPTグループによる標的型侵入の両方を阻止するという二重の課題に直面しています。
セキュリティ機関や研究者は、VPNまたはファイアウォールによるRDP公開の制限・多要素認証の強制・ネットワークレベル認証の有効化・VPNおよびリモートアクセスアプライアンスへの積極的なパッチ適用という複数のコアコントロールを一貫して推奨しています。
翻訳元: https://cyberpress.org/russian-hackers-exploit-access/