窃取マルウェアによる認証情報盗難の驚異的な規模
窃取マルウェアを取り巻くサイバー犯罪エコシステムは、前例のない規模に達しており、脅威アクターは洗練された流通ネットワークを通じて、毎日数百万件もの盗まれた認証情報を処理しています。セキュリティ研究者は約1年間これらの活動を監視し、Telegram、フォーラム、ソーシャルメディアサイトなどのプラットフォームを通じて、被害者データを産業規模で処理する驚くべきインフラを明らかにしました。
窃取ログのエコシステムは近年大きく変貌し、散発的な活動から高度に組織化された犯罪企業へと進化しました。これらのプラットフォームを監視し始めた研究者たちは、被害者を支援するために設計された包括的なデータ取り込みシステムを導入し、Have I Been Pwnedと提携して、認証情報が侵害された個人に警告を発しました。監視インフラは、最大の脅威インテリジェンスプラットフォームに匹敵するように構築され、独自のデータの取得とほぼリアルタイムの警告機能の実現に焦点を当てました。
この調査により、Telegramが窃取エコシステム内で主要なデータドライバーとして浮上し、1日で数百万件もの固有の認証情報を提供できることが判明しました。ピーク時には、単一のTelegramアカウントが24時間で最大5,000万件の認証情報を処理できました。この驚異的な量は、認証情報窃取活動が現在、サイバー犯罪能力の以前の推定をはるかに超える産業規模で機能していることを浮き彫りにしています。
犯罪市場の構造
窃取ログのエコシステムは、明確な役割と責任を持つ階層構造を通じて運営されています。主要な販売者は主要な業務を管理し、通常、サンプルが共有される公開チャネルと、顧客が新しい窃取ログへのアクセスを購入する有料のプライベートチャネルの両方を維持しています。これらのオペレーターは、さまざまな感染経路を通じてマルウェアを配布するトラファーと連携し、アグリゲーターは複数のチャネルでログを収集および再配布します。
アグリゲーターは、このエコシステムで特に興味深い役割を果たしており、注目を集め、犯罪コミュニティ内での評判を築くためにデータを公に漏洩させることがよくあります。彼らは複数のソースからのファイルをマージし、追跡を困難にする独自のコンパイルを作成します。主要な販売者は、アグリゲーターが功績を主張するのを防ぐために、チャネルへのリンクでアーカイブをパスワード保護することが多く、データ配布プロセスにさらなる複雑さを加えています。
悪意のあるインフラの特定とデータ処理
研究者たちは、TelegramのMTProtoワイヤーフォーマットを使用して洗練された監視インフラを開発し、約20のプレミアムTelegramアカウントをワーカーとして展開し、チャネルの監視とスクレイピングに専念させました。これらのワーカーは、受信メッセージをプロセッサーに転送するメッセージリスナーを操作し、プロセッサーは招待リンクを抽出し、添付ファイルを識別し、ファイルを抽出および処理するための分離されたダウンロードエンジンに転送しました。システムには、大量の冗長データを処理するための複数の重複排除メカニズムが組み込まれていました。
ファイルはダウンロード前にTelegramのFileHashを使用してチェックされ、ClickHouseのReplacingMergeTreeアーキテクチャを使用して2番目の重複排除層が実装されました。このアプローチにより、研究者はストレージの制約を管理しながら、特定の認証情報が犯罪エコシステム全体でどれだけ広く配布されているかを追跡できました。
プロセッサーは、盗まれたデータのインジケーターについてメッセージを検査し、関連するチャネルに自動的に参加するようにワーカーに指示しました。ダウンロードされたファイルは、解析前にその形式を決定するために分析され、データは分析のためにClickHouseデータベースにバッチ挿入されました。処理されたファイルは、毎日処理される膨大な量を考慮して、ストレージを節約するために直ちに削除されました。
研究チームは、既知の悪意のあるTelegramチャネルをシードデータとして使用することから始め、特にアドバーサリーインフラに焦点を当てました。複数の悪意のあるソースによって参照されるチャネルは、悪意のある確率ランキングが高く評価され、クロールが優先されました。このアプローチにより、研究者は正当なチャネルからの誤検知を回避しながら、認証情報窃取活動の相互接続されたネットワークをマッピングできました。
さまざまなマルウェアファミリーやトラファーが異なる出力構造を使用していたため、データ形式の多様性は大きな課題となりました。主要な販売者、アグリゲーター、トラファーはそれぞれ独自のフォーマット規則を採用しており、エコシステム全体で一貫性がありませんでした。これにより、遭遇した幅広いファイル形式から認証情報を抽出するための柔軟な解析機能が必要となりました。
Have I Been Pwnedへのデータ寄付
研究チームは、収集したデータを収益化するのではなく、Have I Been Pwnedに寄付しました。これは、適切な検証なしにクレジットカードを持つ誰もが被害者の詳細にアクセスできるプラットフォームに対する懸念を理由としています。このデータセットをHave I Been Pwnedに提供することで、研究者は、盗まれた認証情報データの誤用に対する適切な保護措置を欠く脅威インテリジェンスプラットフォームからのさらなる悪用を受けることなく、被害者がアカウントを保護できるよう支援することを目指しました。