ReliaQuestのサイバーセキュリティ研究者は、「ALP-001」という名前の新しいTorベースのデータリーク情報サイトを発見しました。
最近ダークウェブに現れたこのプラットフォームは、データリークの包括的なリポジトリとアクセスマーケットとして自らを売り込んでいます。
現代の脅威環境では新しい恐喝サイトが警戒すべき頻度で現れていますが、この特定の発見は際立っています。
脅威インテリジェンス分析者は、ALP-001の運営者をアンダーグラウンド犯罪フォーラムで活動している非常に活動的で確立された初期アクセスブローカーに直接結びつけています。
この展開は、グループの操業における戦略的転換を示唆しており、脅威行為者が単なる初期ネットワークアクセスの売却から、侵害された組織への直接的な恐喝へと活動範囲を拡大していることを示しています。
ALP-001プラットフォームの背後にいる運営者は、世界中のエンタープライズネットワークに侵入するための明確で非常に効果的な戦略を示しています。
彼らの主要な攻撃方法論は、侵害されたペリメータテクノロジーとリモートアクセスゲートウェイの現金化に大きく焦点を当てています。
複雑なフィッシングキャンペーンや精巧なソーシャルエンジニアリングに依存するのではなく、このグループは脆弱なインターネットに公開されたインフラを積極的に標的にしています。
彼らの既知のネットワークアクセス販売には、侵害されたファイル転送プロトコルとセキュアシェルサーバが頻繁に含まれます。
さらに、彼らはエンタープライズグレードのリモートアクセスソリューションに関連するパッチが適用されていない脆弱性または弱い管理者認証情報を一貫して悪用しています。
これには特にFortinet、Cisco、Citrix、Remote Desktop Web Access、およびGlobalProtectの製品とサービスが含まれます。
これらの重要な境界防御の弱点を活用することにより、ブローカーは高価値の企業環境内に無音の足がかりを成功裏に確立しています。
この特定の脅威グループは有効なリモートアクセスと管理者認証情報を積極的に再販しているため、組織はネットワークペリメータの防御と権限のない内部アクセスの監視を優先する必要があります。
最初の重要なステップはペリメータの積極的な強化です。セキュリティチームは、Fortinet、Cisco、およびCitrixの仮想プライベートネットワーク、ファイアウォール、およびリモートデスクトップゲートウェイに特に注意を払いながら、すべてのエッジデバイスを直ちに監査およびパッチしなければなりません。
これらのインターネットに公開されたアセットが最新のファームウェアとセキュリティアップデートを実行していることを確保することは、このグループが好む特定の初期アクセス技術を防止するために重要です。
これは、異常な管理者活動、権限のないリモートセッション、またはユーザー権限への予期しない修正を継続的に監視することを伴います。
データ恐喝がALP-001の操業の中核であるため、セキュリティ担当者はファイル転送プロトコルやセキュアコピープロトコルなどのプロトコルを使用する特に異常な外向きデータ転送も監視する必要があります。
最後に、厳密なアイデンティティ制御を実装することが不可欠です。組織はすべてのリモートアクセスポイント全体に多要素認証を実施し、侵害された認証情報がこの進化する恐喝グループによって武器化されるのを防ぐために、特権アカウントの積極的で定期的な監査を実施する必要があります。
翻訳元: https://cyberpress.org/leak-site-tied-broker/