概要
サイバーセキュリティコミュニティは、企業の単一サインオン(SSO)システムを標的としたクレデンシャル・スタッフィング攻撃が増加していると報告しています。最近のキャンペーンでは、F5 BIG-IPデバイスに対する攻撃に焦点が当てられています。
攻撃の背景
Defused Cyberは、70件のユニークなメールアドレス・パスワードペアを使用した攻撃データセットを分析しました。このデータとHudson Rockのサイバー犯罪データベースをクロス参照すると、54件(77%)がInfostealer感染との明確な関連性があることが確認されました。
攻撃手法
インフォステーラーによるハッキング:
- 社員のシステムにマルウェア(RedLine、Raccoon、Vidarなど)が感染し、ブラウザで保存されたクレデンシャルが盗まれます。
- マーケットプレイス:これらのログは地下市場で売買され、初期アクセスブローカー(IAB)に販売されます。
- フロントドアバイパス:攻撃者はこれらのクレデンシャルをF5 BIG-IPなどの企業エッジシステムに対して大規模なクレデンシャル・スタッフィング攻撃として再利用します。
影響範囲と被害者
このキャンペーンでは、ロールスロイス、ジョンソン・エンド・ジョンソン、エリクソン、デロイトなど大企業や政府機関の従業員の資格情報が使用されました。また、ベルギー警察やトルコ貿易省などの公的機関も被害に遭っています。
防御策
攻撃者たちは統計的な成功を期待して広範囲なターゲットに対して攻撃を行います。そのため、防御者はパッチ管理やデバイスのハードニングだけでなく、継続的なアイデンティティモニタリング、ダークウェブ露出追跡、およびすべての周辺アクセスポイントでの厳格なMFA(多要素認証)を実装することが求められます。
攻撃者のネットワーク利用
さらに、攻撃者はOPTAGE Inc.がホストするFortinet FortiGate-60Eファイアウォールから攻撃を行っていることが確認されました。このデバイスは開かれたポート541/tcpと10443/tcpを使用し、自己署名のSSL証明書を用いていました。
結論
サイバーカリビアンのオペレーションは、脆弱性を通じたネットワークへの侵入から、実際の企業クレデンシャルを使用した認証の乱用へと進化しています。防御者は、攻撃者たちが購入したInfostealerログを大規模なブルートフォースキャンペーンに使用する可能性があることを認識し、適切に対策を講じる必要があります。