2025年の米国財務省制裁に続き、報告された損失が2億ドルを超えるサイバー犯罪ネットワークは、その操作を拡大し戦術を洗練させました。
Triad Nexusとして知られるこのグループは、大規模な投資詐欺とブランド詐称キャンペーンを継続して実行していると報告されており、新興市場へのフォーカスをシフトさせています。
Silent Pushからの新しい研究によると、このネットワークはその運用セキュリティを強化し、米国ベースの調査官をブロックする地理的制限を導入し、その活動をマスクするためにますます複雑なインフラストラクチャを採用しています。
同時に、それは詐欺エコシステムをスケーリングし、平均的な被害者の損失が150,000ドルに達しています。
インフラストラクチャロンダリングとブランド詐称
重要な展開は、グループによる「インフラストラクチャロンダリング」の使用であり、AWS、Cloudflare、GoogleおよびMicrosoftからのハッキングされたクラウドアカウントに依存して悪意のあるサービスをホストしています。これは詐欺プラットフォームを正当なトラフィックとブレンドしながら、ほとんどのユーザーが区別できない高パフォーマンスサイトを有効にします。
これに加えて、このネットワークはデジタルブランド盗難を産業化しました。その操作には、銀行ポータル、ラグジュアリーリテール・ウェブサイト、およびパブリック・サービスの非常に正確なレプリカが含まれており、認証情報を収集し支払いをリダイレクトするよう設計されています。Silent Pushは、これらのクローンプラットフォームの規模と一貫性が、非常に組織化された反復可能なモデルを強調していると述べました。
研究では、最も頻繁に標的とされるいくつかのセクターを特定しました:
-
認証情報を収集するために使用される銀行およびフィンテックプラットフォーム
-
高額取引のために悪用されるラグジュアリーリテールブランド
-
地域データ盗難のために活用されるパブリック・サービス
回避戦術と防御的対応
検出を避けるため、Triad Nexusは「USブロック」も実装しており、米国のIPアドレスからのアクセスを防止し、代わりに法的制限メッセージを表示しています。この動きは、制裁後の精査を減らし、規制が少ない市場での継続的な操作を可能にするよう設計されているようです。
サイバー犯罪インフラストラクチャについてもっと読む: 研究者がサイバー犯罪ネットワークVexTrioの背後にあるインフラストラクチャを暴露
同時に、このグループはローカライズされた詐欺テンプレートを使用してスペイン語、ベトナム語、およびインドネシア市場に拡大しました。また、正当なサービスプロバイダーとして装う「クリーン」なフロント企業も導入し、属性努力をさらに複雑化させています。
これらの進化する戦術に対応して、Silent Pushは複雑なドメインリダイレクションパスをマップするためのCNAMEチェーンルックアップツールを開発しました。層状化されたCNAMEチェーンの背後にあるインフラストラクチャを暴露することにより、ツールはディフェンダーに大規模な詐欺ネットワークがどのように動作するかについてのより大きな可視性を提供します。
研究者は、Triad Nexus操作の自動化と規模の増加は、反応的なセキュリティから離れるシフトを必要としていると述べました。代わりに、組織はエンドユーザーに到達する前に脅威を特定することができるプロアクティブな監視戦略を採用するよう促されています。
翻訳元: https://www.infosecurity-magazine.com/news/triad-nexus-expands-fraud/
