コンテンツにスキップするには Enter キーを押してください

感染からアクセスまで: 現代のスティーラーキャンペーンの24時間タイムライン

投稿日 2025年5月28日

Image

スティーラーマルウェアはもはやパスワードを盗むだけではありません。2025年には、ライブセッションを盗み、攻撃者はこれまで以上に迅速かつ効率的に動いています。

多くの人がアカウント乗っ取りを個人サービスと関連付けていますが、実際の脅威は企業で進行しています。Flareの最新の研究、The Account and Session Takeover Economyでは、2000万以上のスティーラーログを分析し、Telegramチャンネルやダークウェブマーケットプレイスでの攻撃者の活動を追跡しました。この調査結果は、サイバー犯罪者が感染した従業員のエンドポイントを武器にして企業のセッションを乗っ取る方法を明らかにし、しばしば24時間以内に行われます。

これが現代のセッションハイジャック攻撃の実際のタイムラインです。

1時間以内の感染とデータ窃盗#

被害者が悪意のあるペイロードを実行すると、通常はクラッキングされたソフトウェア、偽のアップデート、またはフィッシング添付ファイルとして偽装されている、Redline(ログの44%)、Raccoon(25%)、LummaC2(18%)のような一般的なスティーラーが支配します。

これらのマルウェアキットは:

  • ブラウザのクッキー、保存された認証情報、セッショントークン、暗号ウォレットを抽出します
  • 数分以内にデータをTelegramボットやコマンド&コントロールサーバーに自動的に送信します
  • セッションタイプ、場所、アプリごとに分類された1600万以上のログをわずか10のTelegramチャンネルに供給します

セッショントークン:新たな通貨#

数時間以内に、サイバー犯罪者は盗まれたデータをふるいにかけ、高価値のセッショントークンに焦点を当てます:

  • ログの44%がMicrosoftセッションデータを含みます
  • 20%がGoogleセッションを含みます
  • 5%以上がAWS、Azure、またはGCPクラウドサービスのトークンを露出します

Telegramボットコマンドを使用して、攻撃者は地理、アプリケーション、特権レベルでログをフィルタリングします。マーケットプレイスのリストには、ブラウザのフィンガープリントデータやMFAを回避するための準備済みのログインスクリプトが含まれています。

盗まれたセッションの価格は大きく異なり、消費者アカウントは通常5ドルから20ドルで販売されるのに対し、企業レベルのAWSやMicrosoftセッションは1200ドル以上で取引されることがあります。

数時間以内に完全なアカウントアクセス#

セッショントークンが購入されると、攻撃者はそれをアンチディテクトブラウザにインポートし、MFAやログインアラートをトリガーすることなく、ビジネスクリティカルなプラットフォームへのシームレスなアクセスを得ます。

これは個人アカウントが悪用されることではありません。攻撃者が企業環境に侵入し、迅速に:

  • Microsoft 365やGmailのようなビジネスメールにアクセスします
  • Slack、Confluence、または管理ダッシュボードのような内部ツールに入ります
  • クラウドプラットフォームから機密データを抽出します
  • ランサムウェアを展開したり、システム間を横断したりします

Flareは、Gmail、Slack、Microsoft 365、Dropbox、AWS、PayPalへのライブで即使用可能なアクセスを含む単一のスティーラーログを分析しました。すべてが単一の感染したマシンに結び付けられていました。間違った手に渡れば、このレベルのセッションアクセスは数時間以内に深刻な侵害に発展する可能性があります。

なぜこれが重要か:脅威の規模#

これは例外ではありません。これはランサムウェアギャング、詐欺師、スパイグループを可能にする巨大で産業化された地下市場です:

  • 毎週何百万もの有効なセッションが盗まれ、販売されています
  • トークンは数日間アクティブなままで、持続的なアクセスを許可します
  • セッションハイジャックはMFAを回避し、多くの組織が侵害に気付かないままにします

これらの攻撃はMicrosoft、Google、AWS、または他のサービスプロバイダーでの侵害から生じるものではありません。代わりに、個々のユーザーがスティーラーマルウェアに感染し、その認証情報とライブセッショントークンを静かに抽出されることから始まります。攻撃者はこのユーザーレベルのアクセスを利用して従業員になりすまし、データを盗み、特権をエスカレートします。

Verizonの2025年DBIRによると、侵害の88%が盗まれた認証情報を含んでおり、アイデンティティベースの攻撃がどれほど中心的なものになっているかを示しています。

盗まれたパスワードや失敗したログイン試行だけを監視していると、最大の攻撃ベクトルを見逃してしまいます。

組織を守る方法#

セッショントークンはパスワードと同様に重要であり、新しい防御の考え方が必要です:

  • エンドポイントが侵害された場合、すべてのアクティブなセッションを直ちに取り消します。パスワードのリセットだけでは攻撃者を止められません
  • Telegramドメインのネットワークトラフィックを監視します。これは主要なデータ送信チャネルです
  • ブラウザのフィンガープリントと異常検出を使用して、不明なデバイスや場所からの疑わしいセッション使用をフラグします

この新しい現実に適応した防御を行うことが、迅速に動く脅威アクターを阻止するために不可欠です。

Flareでさらに深く探る#

私たちの完全なレポートでは以下をカバーしています:

  • 攻撃に使用される最も一般的なマルウェアファミリー
  • アクセスタイプごとの詳細なトークン価格
  • Telegramボットやマーケットプレイスリストのスクリーンショット
  • 検出と対応のための実用的な推奨事項

無料トライアルを開始して、私たちの広範なデータセットを自分で探索してください。何百万ものスティーラーログを検索し、露出したセッションを特定し、攻撃者に先んじましょう。

完全なレポートを読む | 無料トライアルを開始する

注:この記事は、ガバナンス、リスクとコンプライアンス、セキュリティデータ分析、セキュリティ研究の経験を持つEric Clayによって専門的に執筆され、寄稿されました。彼は現在、FlareのCMOとして、脅威露出管理SaaSソリューションを提供しています。

翻訳元: https://thehackernews.com/2025/05/from-infection-to-access-24-hour.html

Published in thehackernews.com

コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です