ハッカーはTelegramを初期アクセスマーケットプレイスとして悪用し、ステーラーログと漏洩した認証情報を企業VPN、RDP、クラウド環境への直接的なエントリーポイントに変えています。
このプラットフォームは現在、侵害された認証情報と完全なネットワーク侵害の間の高速ブリッジとして機能し、ランサムウェア業者、初期アクセスブローカー(IAB)、およびハクティビストコレクティブをサポートしています。
Telegramは人気のある「ログクラウド」と認証情報チャネルをホストしており、ここではインフォスティーラーデータが集約、検索、および大規模に転売されます。
レポートによると、多くのIABが企業ネットワークへのアクセスを広告する前に、これらのTelegram供給ステーラーログから有効なVPNおよびRDP認証情報を直接調達しています。
Cyber FattahチームやNoName057などのグループは、Telegramがどのように運用目的と心理的目的の両方を実現できるかを実証しました。
投稿には、企業規模、地理、アクセスレベル(ユーザー、ローカル管理者、ドメイン管理者)、および公開されたサービスが含まれることが多く、購入者はランサムウェアまたはデータ盗難に適した被害者がどれであるかをすばやく評価できます。
Torフォーラムからテレグラムチャネルへ
購入者がターゲットを選択すると、IABはプライベートチャットに移動し、ライブアクセスを実証します。例えば、RDPログイン、VPNポータルアクセス、またはAzureやAWSなどのプラットフォームでのクラウドコンソール可視化の証拠を表示することによってです。
これは、従来のダークネット「アクセスショップ」モデルをTelegramのリアルタイム交渉と検証と組み合わせており、認証情報盗難とハンズオンキーボード侵害の間のウィンドウを縮小しています。
従来のTorフォーラムはかつてネットワークアクセス販売の主要なハブとして機能していましたが、速度が遅く、評判に基づいており、執行機関のテイクダウンに脆弱です。
今日、フォーラムやマーケットプレイス上の多くのアンダーグラウンド投稿は単に看板として機能し、購入者をテレグラムチャネルにリダイレクトし、実際のアクセス取引、支払い、および引き渡しが発生する場所です。
Telegramのチャネルベースのアーキテクチャにより、脅威行為者は中断から迅速に回復できます。1つのチャネルが削除された場合、オペレータは置換を立ち上げて、転送とクロスポスティングを通じて加入者を数分で移行できます。
この弾力性は、グローバルなリーチと最小限のモデレーションと組み合わされて、Telegramを財政的に動機付けられた集団と政治的に動機付けられたINDOHAXSECなどのグループの両方にとって好ましい調整レイヤーにしています。
緩和策
Telegramは現在、攻撃ライフサイクルの複数の段階を単一のプラットフォームに集約しています。ステーラーログ収集、検索可能な認証情報データベース、初期アクセスブローカー、ランサムウェア被害者の恥さらし、およびアフィリエイト募集です。
Telegramは単に孤立した犯罪サービスをホストするだけでなく、広告、自動化、収益化、および運用活動が単一のプラットフォーム内に共存する相互接続されたエコシステムを実現します。
マルウェア・アズ・ア・サービスクルーはチャネルとボットを使用してサブスクリプションを管理し、新しいビルドを配布し、更新をプッシュしますが、一部のスティーラーはTelegram APIを介して認証情報をTelegramボットに直接流出させます。
ランサムウェアと恐喝グループにとって、専用チャネルは被害者漏洩とカウントダウンを増幅し、心理的圧力とメディアの可視性を高めます。
このサイバー犯罪の「プラットフォーム化」はTelegramを店舗とサポートデスクの両方に変えます。ボットは支払いを検証し、ツールを配信し、オンデマンドで盗まれたログをクエリします。
広告、自動化、収益化、および運用調整を1つの場所にマージすることにより、Telegramは潜在的な攻撃者のエントリーバリアを大幅に低下させ、侵害されたエンドポイントから侵害された企業VPN、RDPゲートウェイ、またはクラウドテナントへのパスを加速させます。
翻訳元: https://gbhackers.com/hackers-exploit-telegram/
