ランサムウェア攻撃は暗号化から始まるわけではありません。偵察から始まります。セキュリティ研究者は、クリスマス休暇中に展開された大規模な偵察作戦を記録しました。
12月25日から28日にかけて、単一のオペレーターが脆弱なシステムを求めてインターネットを体系的にスキャンし、標的に対して240種類以上の異なるエクスプロイトを試し、成功したヒットをすべて記録しました。
こうして収集されたデータ――確認済み脆弱性の新たな在庫――は、2026年を通じた標的型侵入を促進する可能性が高く、初期侵入ポイントを求める犯罪マーケットプレイスや脅威アクターによって武器化される恐れもあります。
Initial Access Brokers(IAB)は、ランサムウェア経済における偵察部隊として機能します。暗号化やデータ窃取の作戦を実行するのではなく、IABは悪用可能なシステムを特定し、脆弱な標的のカタログを構築することに特化しています。
この運用上の専門化は、現代のサイバー犯罪における分業を反映しています。IABは侵入口の発見に専念し、ランサムウェア集団は収益化と恐喝を担います。
取引モデルは犯罪マーケットプレイスを通じて機能し、侵害された企業ネットワークへのアクセスは、標的の価値に応じて数千ドルからそれ以上の高額で取引される可能性があります。
クリスマス期間に観測された偵察作戦は、この違法市場の供給側が在庫を積極的に補充していることを示しています。
キャンペーンの技術的詳細
この作戦は、CTG Server Limited(AS152194)に登録された2つのIPアドレス、134.122.136.119 と 134.122.136.96 から発信されました。
リクエストは1~5秒間隔で到着し、各標的は11種類の異なるエクスプロイトタイプでテストされました。
攻撃者は、システムが悪用の被害に遭った際に脆弱性を確認するため、Out-of-Band アプリケーションセキュリティテスト(OAST)ドメインを展開しました。悪用が成功すると、対象システムは攻撃者のコールバック基盤へ外向きリクエストを送信します。
研究者は、ProjectDiscoveryのInteractshプラットフォームに接続された57,000以上のユニークなOASTサブドメインを特定しました。
ツールの特徴は、オープンソースの脆弱性スキャナーであるNucleiが産業規模で運用されている状況と一致します。
攻撃者が選択した特定のドメインにより、セキュリティアナリストは、2024年のLabsConで発表されたOASTインフラ分析に関するプレゼンテーションで以前に示された手法を用いてサブドメインを解読できました。
このキャンペーンは2つの明確な波で実行されました。第1波はクリスマス当日に両方のIPアドレスを使用し、第2波は12時間後に単一のIPアドレスで出現し、第1段階で見落とされたと思われる13個の追加エクスプロイトテンプレートを導入しました。
JA4のネットワークフィンガープリントと、試行の98%にわたって共有されたMachine IDシグネチャにより、これは協調したグループの取り組みではなく、単一のオペレーターによるものだと確認されています。
このタイミングは、計算された運用計画を反映しています。攻撃者は、防御が弱まる時期を正確に理解しています。
休暇期間は、持続的な偵察に理想的な条件を生み出します。最小限のセキュリティ要員、アラート対応の遅延、ログレビュー能力の低下です。
通常運用時であれば数時間以内に検知システムが特定してブロックするスキャンキャンペーンでも、祝日週末には数日間継続し得ます。
12月25~28日の期間は、このオペレーターにインターネット接続システムを中断なく4日間調査する機会を与えました。
このキャンペーン期間中に収集された脆弱性データは、作戦終了後も長く価値を保ち、将来の侵入に再利用可能なカタログとなります。
インフラ評価
CTG Server Limitedには注目すべき懸念があります。設立から約1年しか経っていないにもかかわらず、この香港登録のホスティングプロバイダーは、672のプレフィックスに分散された約201,000のIPv4アドレスを管理しています。
先行研究では、AS152194がFUNNULL CDNインフラ内におけるフィッシングドメインの主要ASNであることが特定されました。このネットワークはボゴンルートもアナウンスしており(ネットワーク衛生の指標)、複数のIPレンジが各種の不正利用ブロックリストに掲載されています。
このプロファイルは、悪用への対処メカニズムが最小限のまま運用されているプロバイダーであることを示唆しており、耐性と回避能力を必要とする作戦にとって魅力的なインフラとなります。
組織は、12月25~28日のサーバーおよびネットワークログを見直し、特定されたIPアドレスからの接続がないか確認すべきです。OASTドメイン(.pro、.site、.me、.online、.fun、.live)へのクエリについてDNSログを調査することも、追加の検知機会を提供します。
一致が確認された場合、それは組織環境における脆弱性が確認済みであることを示し、攻撃者がアクセスを確立する方法に関する技術的知識を保有していることを意味します。また、このインテリジェンスはすでに犯罪マーケットプレイスで販売リストに載っている可能性があります。
現時点では、このキャンペーンを国家支援(または国家同調)アクターに結び付ける証拠はありませんが、高品質な脆弱性インテリジェンスは歴史的に犯罪市場の外にも流通します。
国家同調グループは、ブローカーからの購入や並行した収集活動を通じて、同様の偵察データを過去に入手しており、重要インフラへのアクセスや諜報活動を含む長期目標を可能にしてきました。
翻訳元: https://gbhackers.com/ransomware-attacks-3/
