TokyoBlackHatNews

gbhackers.com 4分で読了

新しい研究が情報盗聴型マルウェア感染がわずか48時間でダークウェブへの流出につながることを明らかに

新しい研究は、情報盗聴型マルウェアが一度の不注意なクリックを、わずか48時間以内にダークウェブマーケットプレイスでの完全な認証情報流出に変え、従来の侵害検出のタイムラインよりもはるかに高速であることを明らかにしています。

データベース侵害が判明するのに数週間から数ヶ月かかるのとは異なり、情報盗聴型マルウェア感染はマシンのスピードで進行します。

典型的なシナリオは、従業員が割れたソフトウェアをダウンロードするか、企業ネットワーク外で悪意のあるリンクをクリックするときに始まります。

2日以内に、VPNアクセス、クラウドアカウント、セッショントークンを含む盗まれた認証情報は、わずか15ドルの価格で既に地下市場で販売されています。

レポートによると、攻撃チェーンは最初の2時間以内に始まります。脅威アクターは、割れたソフトウェア、悪質な広告キャンペーン、YouTubeチュートリアル、さらにはサプライチェーン侵害などを大きく依存してペイロードを配信しています。

Lumma、RedLine、Vidar、Raccoon Stealer v2、StealCなどの人気のある情報盗聴型マルウェアファミリーがこの段階を支配しており、その多くはマルウェア・アズ・ア・サービス(MaaS)モデルを通じて提供されています。

これらのマルウェア株は速度と秘密性のために設計されています。実行されると、機密データを数分以内に抽出し、自身を削除することもあり、従来のアンチウイルスとエンドポイント検出ツールを回避することがよくあります。

迅速なデータ収集

2時間から12時間の間に、マルウェアはデータの収集を開始します。これには、ブラウザに保存された認証情報、セッションクッキー、VPN設定、SSHキー、および暗号資産ウォレットが含まれます。

セッションクッキーは、攻撃者が多要素認証を完全に回避することを可能にするため、特に危険です。

感染した典型的なシステムは、名前、住所、支払い詳細などの自動入力データとともに、10〜25個のビジネス関連の認証情報をもたらす可能性があります。

マルウェアはブラウザデータベースから暗号化された認証情報を抽出し、ローカルに保存されたキーを使用してそれらを復号化し、データを即座に使用可能にします。

12時間から24時間のマークまでに、盗まれたデータは、認証情報、システムメタデータ、および認証トークンを含む構造化バンドルである「ログ」にパッケージされます。これらのログは価値によって分類されます。

高価値ログには企業VPNアクセス、クラウドインフラストラクチャ認証情報、および暗号資産ウォレットが含まれており、しばしば高額な価格で取引されます。下位層のログには、限定的な財務的価値を持つコンシューマーアカウント認証情報が含まれる可能性があります。

異なる脅威アクターがこのエコシステムを悪用しています。認証情報詰め込みグループは自動化攻撃のためにバルクログを購入し、標的攻撃者は特定の企業ドメインを検索します。

24時間から48時間以内に、これらのログはRussian MarketやEasyなどのマーケットプレイスにアップロードされるか、Telegramチャネルを通じて配布されます。これらのプラットフォームにより、購入者はドメイン、国、または認証情報タイプによって盗まれたデータをフィルター処理できます。

初期アクセスブローカーは、数百ドルでエンタープライズ認証情報を購入し、数万ドルでランサムウェア運用者に転売することがよくあります。

48時間後、悪用は既に進行中です。攻撃者は自動化ツールを使用して複数のサービス全体で認証情報をテストし、企業環境へのVPNアクセスを取得するか、暗号資産ウォレットを即座に消費しています

多くのログインが有効な認証情報とセッショントークンを使用して正当に見えるため、従来のセキュリティ監視はしばしば活動を検出するのに失敗します。

ダークウェブの監視

最大の課題の1つは、初期感染が通常、個人デバイスまたは非管理デバイスなどの企業の視認性の外で発生することです。セキュリティチームが異常な動作に気付くころには、認証情報は既に販売され、使用されています。

セキュリティ研究者は、このギャップを埋めるための地下市場の監視の増加する重要性を強調しています。Whiteintelのようなプラットフォームは、オンラインに表示されるとすぐに盗まれた認証情報を検出することに焦点を当てており、しばしば最初の24時間以内です。

この早期警告により、組織は攻撃者がデータを完全に悪用する前に、アクセスを取り消し、セッションを無効にし、侵害されたエンドポイントを調査できます。

重要なシフトはタイミングです。従来の侵害検出は損害が発生した後に対応しますが、情報盗聴型に焦点を当てた監視は、データ窃盗と能動的な悪用の間の狭いウィンドウで対応することを目指しています。

翻訳元: https://gbhackers.com/dark-web-exposure/

ソース: gbhackers.com
#VPNセキュリティ #サイバーセキュリティ #セッション乗っ取り #ダークウェブ #データ流出 #マルウェア #企業セキュリティ #初期アクセス #脅威検出 #認証情報盗聴

関連記事

盗まれたGemini APIキーが自動化されたTelegramの影響工作に悪用

KMW CCTVの深刻な脆弱性、監視映像への不正アクセスを許容

ロシア高官のスマートフォンに外国製スパイウェア——大規模サイバー諜報作戦が発覚