マイクロソフトは、2019年以降、サイバー攻撃者にリモート仮想マシンへのアクセスを提供してきた悪質なプラットフォーム「RedVDS」を無力化したと正式に発表しました。これらの計算資源は、大規模なフィッシングキャンペーン、認証情報の収集、巧妙な金融詐欺の実行に不可欠であり、米国内だけでも累計損失は4,000万ドルを超えました。
RedVDSはサブスクリプション型サービスとして運営され、加害者は月額24ドルというわずかな料金で、海賊版のWindows環境を含む違法ソフトウェアが事前設定されたリモートワークステーションへ無制限にアクセスできました。彼らはこれらの拠点から、欺瞞的なメッセージをばらまき、詐欺用インフラをホスティングし、侵害されたメールボックスを密かに監視しました。最盛期には、マイクロソフトは2,600台超の仮想マシンの活動を記録しており、それらは合計で1日平均100万通のフィッシングメールを送信していました。厳格なフィルタリングにもかかわらず相当数が標的に到達し、世界で13万超の組織にまたがる19万1,000超のアカウントが侵害されました。
このプラットフォームは、ビジネスメール詐欺(BEC)スキームで特に広く利用され、なかでも不動産取引のリアルタイム決済に強く焦点が当てられていました。詐欺師は機微なやり取りを傍受し、資金決済の最終段階で介入して、資金を自らが管理する口座へ迂回させました。マイクロソフトによれば、RedVDSの策動は不動産分野の9,000超の組織に深刻な被害を与え、とりわけカナダとオーストラリアで顕著でした。また、物流、医療、建設、学術分野の機関にも打撃を与えました。
被害を受けた組織には、730万ドルの損失を被った米国の製薬会社H2 Pharmaや、入居者から集めた改修資金のうち約50万ドルをだまし取られたフロリダ州の住宅協会が含まれます。両組織は、米国および英国で提起された民事訴訟において、マイクロソフトとともに共同原告として加わりました。
ユーロポールおよびドイツの法執行機関と連携した協調作戦により、マイクロソフトはRedVDSを統括していたドメインの押収に成功し、主要な関係者を特定しました。作戦を支えていた中核サーバーはドイツ当局により押収されました。犯人の身元は公表されていないものの、このサービスはバハマに登録されたとされるペーパーカンパニーを通じて運営され、取引は暗号資産のみで行われていたことが確認されています。
この犯罪集団は、米国、カナダ、英国、フランス、オランダの第三者ホスティング事業者からサーバースペースを調達し、被害者に地理的に近いIPアドレスから攻撃を仕掛けられるようにしていました。これは、位置情報に基づくセキュリティフィルターを回避するための戦術です。さらにマイクロソフトは、RedVDSが有害なPDFおよびHTML添付ファイルの配布、偽サイトの作成、二要素認証(2FA)を回避するためのトークンやクッキーの抽出を可能にしていたことを明らかにしました。欺瞞的な英語のやり取りのもっともらしさを高めるため、運営者はChatGPTを含む生成AIツールを頻繁に利用していました。
今回の介入は、サイバー犯罪インフラを解体するマイクロソフトの35件目の成功事例となります。2025年初頭には、別の認証情報窃取ツールであるRaccoonO365を無力化しており、その後、そのプロジェクトの顧客の相当数がRedVDSのエコシステムへ移行していたことが判明しました。
翻訳元: https://meterpreter.org/dismantling-the-phish-factory-microsoft-seizes-redvds-cybercrime-network/
