大規模な偵察活動がクリスマス期間中に展開
ランサムウェア攻撃は、暗号化から始まるわけではありません。その第一歩は偵察活動です。セキュリティ研究者たちは、このクリスマス休暇中に展開された大規模な偵察活動を文書化しました。
12月25日から28日にかけて、一人の攻撃者がインターネット上の脆弱なシステムを体系的にスキャンし、240種類以上の異なるエクスプロイトを標的に対してテストし、すべての成功したヒットを記録しました。この収集されたデータ、すなわち確認された脆弱性の新たなインベントリは、2026年を通じて標的型侵入を助長し、犯罪市場や初期アクセスポイントを求める脅威アクターによって武器化される可能性が高いとされています。
初期アクセスブローカー (IABs) の役割
初期アクセスブローカー(IABs)は、ランサムウェア経済における偵察部隊として機能します。彼らは暗号化やデータ窃盗操作を実行するのではなく、悪用可能なシステムを特定し、脆弱なターゲットのカタログを構築することに特化しています。この運用上の専門化は、現代のサイバー犯罪の分業を反映しており、IABsはエントリーポイントの発見に専念し、ランサムウェアグループは収益化と恐喝を扱います。
取引モデルは、侵害された企業ネットワークへのアクセスが、ターゲットの価値に応じて数千ドルからそれ以上の高額で取引される犯罪市場を通じて行われます。クリスマス期間中に観測された偵察活動は、この違法市場の供給側が在庫を積極的に補充していることを示しています。
キャンペーンの技術的詳細
この作戦は、CTG Server Limited(AS152194)に登録された2つのIPアドレス、134.122.136.119と134.122.136.96から発信されました。リクエストは1〜5秒間隔で到着し、各ターゲットは11種類の異なるエクスプロイトタイプに対してテストされました。
攻撃者は、システムが悪用された際に攻撃者のコールバックインフラストラクチャにアウトバウンドリクエストを送信することで脆弱性を確認するアウトオブバンドアプリケーションセキュリティテスト(OAST)ドメインを展開しました。研究者たちは、ProjectDiscoveryのInteractshプラットフォームに接続された57,000以上のユニークなOASTサブドメインを特定しました。
ツールは、オープンソースの脆弱性スキャナーであるNucleiと整合しており、産業規模で運用されていることが示唆されています。攻撃者の特定のドメイン選択により、セキュリティアナリストは2024年のLabsConプレゼンテーションで概説されたOASTインフラ分析の手法を用いてサブドメインをデコードすることができました。
キャンペーンは2つの異なる波で実行されました。最初の波はクリスマス当日に両IPアドレスを使用し、2番目の波は12時間後に単一のIPアドレスを使用し、最初のフェーズで見落とされたと思われる13個の追加のエクスプロイトテンプレートを導入しました。JA4ネットワークフィンガープリントと、試行の98%で共有されるマシンIDシグネチャは、これが単一のオペレーターによるものであり、協調的なグループの取り組みではないことを確認しています。
タイミングは、計算された運用計画を反映しています。攻撃者は、セキュリティ防御がいつ弱まるかを正確に理解しています。休暇期間は、持続的な偵察に理想的な条件を作り出します。つまり、少ないセキュリティ人員、遅延したアラート対応、およびログレビュー能力の低下です。通常の運用中に検出システムが数時間で特定しブロックするスキャンキャンペーンが、休暇週末には数日間持続する可能性があります。12月25日から28日までの期間は、このオペレーターにインターネット接続システムを探索する4日間の中断のない時間を提供しました。
インフラストラクチャの評価:CTG Server Limited
CTG Server Limitedは、注目すべき懸念を提起しています。約1年間存在しているにもかかわらず、この香港に登録されたホスティングプロバイダーは、672のプレフィックスにわたって分散された約201,000のIPv4アドレスを管理しています。以前の研究では、AS152194がFUNNULL CDNインフラ内のフィッシングドメインで主要なASNであることが特定されています。
このネットワークはまた、ネットワーク衛生指標であるボゴンルートをアナウンスしており、複数のIPレンジが様々な悪用ブロックリストに掲載されています。このプロファイルは、最小限の悪用対策メカニズムで運用されており、回復力と回避能力を必要とする操作にとって魅力的なインフラであることを示唆しています。
組織への推奨事項と影響
組織は、12月25日から28日までのサーバーおよびネットワークログで、特定されたIPアドレスからの接続を確認すべきです。OASTドメイン(.pro、.site、.me、.online、.fun、.live)へのDNSログ検査は、追加の検出機会を提供します。一致が確認された場合、それは組織の環境に確認された脆弱性があることを意味し、攻撃者はアクセスを確立するための技術的知識を持っていることになります。この情報は、すでに犯罪市場で販売されている可能性があります。
現時点では、このキャンペーンが国家支援アクターと結びついている証拠はありませんが、質の高い脆弱性情報は歴史的に犯罪市場を超えて流通しています。国家支援グループは、以前にもブローカーの購入や並行収集活動を通じて同様の偵察データを取得し、重要なインフラへのアクセスやスパイ活動を含む長期的な目標を可能にしてきました。