概要
ハッカーは、テレグラムを悪用して企業のVPN、リモートデスクトッププロトコル(RDP)、およびクラウド環境への初期アクセスを得ています。このプラットフォームは、侵害された資格情報と完全なネットワーク侵害との間の高速ブリッジとして機能し、ランサムウェアオペレーター、初期アクセスブローカー(IAB)やハッカーティビスト集団をサポートしています。
テレグラムでの活動
テレグラムは、「ログクラウド」と呼ばれる人気のある情報収集チャネルと資格情報を販売するチャネルをホストしており、これらのプラットフォームでは、情報窃取データが集約され、検索可能で再販されています。
具体的な事例
サイバーファッターグループやNoName057のようなグループは、テレグラムを運用と心理的な目標達成の両方の目的に使用しています。これらのチャネルでは、企業規模、地理的位置、アクセスレベル(ユーザー、ローカル管理者、ドメイン管理者)、さらには公開されたサービスまで詳細が掲載され、購入者は迅速に適切な標的を選択できます。
取引の流れ
- 選定: 購入者がターゲットを選びます。
- デモ: IABはプライベートチャットでライブアクセスを示します。例えば、RDPログイン証明情報やVPNポータルへのアクセス、AzureやAWSなどのクラウドコンソールの可視化などを示します。
テレグラムの利点
トーラムフォーラムは従来、ネットワークアクセスを販売する主要なハブでしたが、それは遅く、評判に依存し、法執行機関による取り締まりにも脆弱です。一方、テレグラムチャネルベースのアーキテクチャでは、脅威アクターが迅速に復旧でき、一時的に削除されたチャネルでもすぐに新しいチャネルを立ち上げてサブスクライバーを移行できます。
対策
テレグラムは攻撃ライフサイクルの複数の段階を単一プラットフォームに集中させ、ステーラーログ収集、検索可能な資格情報データベース、初期アクセスブローカー、ランサムウェア被害者への非難、およびアフィリエイトの募集などを行います。この「プラットフォーム化」により、サイバー犯罪はテレグラム上で店舗とサポートデスクを兼ねるようになり、攻撃者の参加障壁が低下し、侵害されたエンドポイントから企業VPNやRDPゲートウェイ、クラウドテナントへの侵入までの道のりが加速します。