サイバーセキュリティ企業Resecurityは、2025年11月にハッカーが同社のシステムを標的にした後、欺瞞技術を用いて脅威アクターの誘い込みに成功した。
この作戦により攻撃者のインフラが露呈し、法執行機関の関与を促す結果となった。金銭目的のサイバー犯罪者に対して、合成データのハニーポットが有効であることを示している。
事件は2025年11月21日、ResecurityのDFIRチームが、脅威アクターが公開されているサービスを探り、限定的なアクセス権しか持たない従業員を標的にしていることを検知したことから始まった。
調査担当者は、エジプトのIPアドレス(156.193.212.244および102.41.112.148)からの初期接続を、VPNサービスと併せて記録した。
侵入を遮断するのではなく、セキュリティチームは攻撃者の行動を監視するため、合成データを含むハニートラップ用アカウントを展開した。
この罠には、公開情報を基に作成した2万8,000件超の偽の消費者記録と、19万件の捏造された決済取引が用いられた。
この本物らしく見えるが価値のない情報には、ダミーのStripe決済記録や、コンボリストから生成したメールアドレスが含まれていた。
Resecurityはさらに、欺瞞を完成させるため、2023年の古いログを備えた廃止済みのMattermostメッセージング環境も作成した。脅威アクターはまんまと餌に食いついた。
12月12日から12月24日にかけて、攻撃者は住宅用IPプロキシを用い、合成データを盗み出すために18万8,000回を超える自動リクエストを行った。
この激しい活動期間中、接続失敗が複数のオペレーション・セキュリティ上の問題を引き起こし、攻撃者の実際のIPアドレスが露呈した。
Resecurityはこれらのエラーを記録し、脅威アクターを追跡するため、法執行機関およびインターネットサービスプロバイダ(ISP)と不正利用データを共有した。
このハニーポットは、攻撃手法、使用されたツール、サイバー犯罪者が用いたインフラに関する膨大な証拠の収集に成功した。
このインテリジェンスは、攻撃者の能力と手口を理解するうえで非常に貴重であることが判明した。
作戦の公表後、悪名高いShinyHuntersサイバー犯罪グループは、Resecurityのシステムを「侵害した」と虚偽の主張を行った。
同グループは、仕込まれた「Mark Kelly」アカウントで「honeytrap.b.idp.resecurity.com」のハニートラップ環境にアクセスしていたことに気づいていなかった。
証拠として共有したスクリーンショットは、実際には彼らが罠に真っ直ぐ落ちたことを裏付けるものだった。Resecurityの調査担当者は、ソーシャルエンジニアリング手法により、その活動を米国拠点のGmailアカウントに結び付けた。
また、パスワードリセット機能を通じて電話番号を回収し、証拠の連鎖を強化した。
収集されたすべてのインテリジェンスは、さらなる捜査および起訴の可能性に向けて、法執行機関に提供された。
本件は、ハニーポットと合成データがサイバー犯罪者に対する強力な防御メカニズムを生み出し、攻撃者自身の強欲を逆手に取りつつ、彼らの運用インフラと実在の身元を露呈させることを示している。
翻訳元: https://cyberpress.org/honeypot-after-targeted/