TokyoBlackHatNews

bleepingcomputer.com 4分で読了

Microsoft、巨大なRedVDSサイバー犯罪向け仮想デスクトップサービスを妨害

Image

Microsoftは水曜日、2025年3月以降、米国だけで報告損失が少なくとも4,000万ドルに上る大規模なサイバー犯罪プラットフォーム「RedVDS」を妨害したと発表しました。

Microsoftは米国と英国で民事訴訟を提起し、悪意あるインフラを差し押さえるとともに、Europolおよびドイツ当局とのより広範な国際作戦の一環として、RedVDSのマーケットプレイスと顧客ポータルをオフラインにしました。

この措置には、Microsoftとともに2社の共同原告が参加しました。ビジネスメール詐欺(BEC)スキームで730万ドルを失ったアラバマ州の製薬会社H2-Pharmaと、居住者資金約50万ドルを失ったフロリダ州のGatehouse Dockコンドミニアム協会です。

「月額わずか24ドルで、RedVDSは犯罪者に使い捨ての仮想コンピューターへのアクセスを提供し、詐欺を安価で拡張可能にし、追跡を困難にします」と、Microsoftのデジタル犯罪対策ユニットのアシスタント・ジェネラル・カウンセルであるスティーブン・マサダ氏は述べました

「このようなサービスは、今日のサイバー支援型犯罪の急増を支える原動力として、ひそかに存在感を増しており、世界中の個人、企業、コミュニティに害を及ぼす攻撃を後押ししています。」

Image
RedVDSのウェブサイト(BleepingComputer)

​RedVDSは2019年以降、サイバー犯罪・アズ・ア・サービス(CaaS)プラットフォームとして運営され(redvds[.]com、redvds[.]pro、vdspanel[.]spaceの各ドメインを使用)、管理者権限付きで利用制限のない仮想Windowsクラウドサーバーへのアクセスを販売していました。顧客には、Storm-0259、Storm-2227、Storm-1575、Storm-1747として追跡される脅威アクターを含む複数のサイバー犯罪グループが含まれます。

Microsoftの調査で、RedVDSの開発者兼運営者(Storm-2470として追跡)が、単一のクローン化されたWindows Server 2022イメージからすべての仮想マシンを作成していたことが判明しました。 これにより特徴的な技術的フィンガープリントが残り、すべてのインスタンスが同じコンピューター名「WIN-BUNS25TD77J」を共有していました。この異常が、調査担当者が悪意あるキャンペーン全体にわたって同サービスの運用を追跡する手がかりとなりました。

RedVDSは、米国、英国、フランス、カナダ、オランダ、ドイツにまたがる第三者のホスティングプロバイダーからサーバーを借りていました。これにより犯罪者は、標的に地理的に近いIPアドレスを用意でき、位置情報ベースのセキュリティフィルターを容易に回避できました。

調査担当者は、RedVDSの顧客がレンタルサーバー上に、大量送信ユーティリティ、メールアドレス収集ツール、プライバシーツール、リモートアクセスソフトウェアなど、幅広いマルウェアや悪意あるツールを展開していたことを確認しました。

このサービスは、暗号資産による支払いを通じて匿名性を維持しながら、犯罪者が大量のフィッシングメールを送信し、詐欺インフラをホストし、不正スキームを促進することを可能にしていました。

RedVDSのサーバーは、認証情報の窃取、アカウント乗っ取り、ビジネスメール詐欺(支払い転用とも呼ばれる)攻撃、不動産の支払い転用詐欺にも使用されました。後者では、カナダとオーストラリアで9,000人を超える顧客に甚大な損失が生じました。

RedVDS infrastructure
RedVDSのインフラ(Microsoft)

Microsoftは、RedVDSの顧客の多くが、より説得力のあるフィッシングメールを生成するためにChatGPTを含む人工知能ツールを攻撃に利用していたことも確認しました。一方で、フェイススワップ、動画改ざん、音声クローンを用いて、さまざまな信頼される組織や個人になりすます者もいました。

わずか1か月の間に、2,600台を超えるRedVDSの仮想マシンを制御していたサイバー犯罪者は、Microsoftの顧客だけを対象に、1日あたり平均100万通のフィッシングメッセージを送信しました。これにより、直近4か月で約20万件のMicrosoftアカウントが侵害されました。

「2025年9月以降、RedVDSを利用した攻撃により、世界中で19万1,000を超える組織が侵害、または不正アクセスを受けました。これらの数値は、すべてのテクノロジープロバイダーにまたがる影響を受けたアカウントの一部にすぎませんが、このインフラがいかに急速にサイバー攻撃の規模を拡大させるかを示しています」とマサダ氏は付け加えました。

「これらの数値は、すべてのテクノロジープロバイダーにまたがる影響を受けたアカウントの一部にすぎませんが、このインフラがいかに急速にサイバー攻撃の規模を拡大させるかを示しています。」

9月には、Cloudflareと連携して、Microsoftのデジタル犯罪対策ユニット(DCU)も、サイバー犯罪者が数千件のMicrosoft 365認証情報を盗むのを助けた大規模なフィッシング・アズ・ア・サービス(PhaaS)運用であるRaccoonO365を妨害しました

翻訳元: https://www.bleepingcomputer.com/news/security/microsoft-seizes-servers-disrupts-massive-redvds-cybercrime-platform/

ソース: bleepingcomputer.com
#AI悪用(音声・映像・文章生成) #cybercrime-as-a-service #Europol #Microsoft #RedVDS #サイバー犯罪 #ビジネスメール詐欺(BEC) #フィッシング #マルウェア #仮想デスクトップ(VDS)

関連記事

MicrosoftのCoreutilsプロジェクト、LinuxコマンドをWindowsにネイティブ移植

OpenAI、GPT-5.5をアップグレード——レガシーモデルの廃止計画も発表

重大なKirki脆弱性、WordPress管理者アカウント乗っ取りに悪用