サイバーニュース.jp

世界のサイバーなニュースを配信

ロシアのサイバー犯罪市場、RDPアクセスからマルウェア窃取ログ悪用へ移行

カテゴリ:

, , , , , , , , ,

ロシアのサイバー犯罪市場「Russian Market」の変貌

オンラインのサイバー犯罪市場である「Russian Market」は、リモートデスクトッププロトコル(RDP)アクセスの販売から、情報窃取型マルウェアのログを扱う最も活発なアンダーグラウンドハブへと進化しました。盗まれたユーザー認証情報は日々取引されており、侵害されたログイン情報の一つ一つが企業システムへの潜在的な侵入経路となります。脅威アクターは日常的に認証情報を購入し、企業、政府機関、個人をアカウント侵害やその後のサイバー攻撃のリスクに晒す認証情報ベースの攻撃を仕掛けています。

Russian Marketのような市場で売買された認証情報に起因する高プロファイルの侵害がいくつか確認されており、一つの漏洩したパスワードが重大なデータ損失、金銭的損害、そして評判の失墜につながることが示されています。

進化する販売品目:RDPから「ボット」へ

2020年初頭の設立当初、Russian Marketは侵害されたコンピューターへのRDPアクセスとログイン認証情報の販売を専門としていました。脅威アクターは、このアクセスをランサムウェアの展開、サイバースパイ活動、および標的ネットワーク内での横展開に悪用していました。2020年から2024年1月までのRDP販売中止まで、この市場は何千ものサーバーとワークステーションへのアクセスを商品化していました。

2021年には、運営者は盗まれたクレジットカードデータに焦点を移し、その年の後半には「ボット」製品ラインを立ち上げました。これらの「ボット」は、通常、情報窃取型マルウェアを介して侵害されたマシンから流出したデータログであり、収集されたクッキー、認証情報、自動入力データ、セッショントークンなどが含まれます。2025年上半期までに、18万件以上のインフォスティーラーログが販売されました。

「ボット」販売の内訳と標的

「ログ」セクションでは、購入者は地理、オペレーティングシステム、インフォスティーラー、ベンダーでリストをフィルタリングできます。典型的なボットには複数のドメインの認証情報が含まれており、そのサイズ(0.05〜0.3メガバイト)は収集されたログイン数と相関しています。ボットは主に以下の国のユーザーを標的としています。

  • 米国 (26%)
  • アルゼンチン (23%)
  • ブラジル

2025年上半期には、平均的なボットのサイズは0.14メガバイトで、価格はボットあたり平均10ドルでした。価格は地理的位置、セッションの品質、認証情報の有効性に基づいて1ドルから100ドルの範囲で変動します。

購入者が企業認証情報を特定するために使用するSQL風クエリの例:

SELECT * FROM bots WHERE domain LIKE '%examplecorp.com' AND infostealer = 'Lumma' AND country = 'US';

侵害されたログイン情報の一つ一つが、ウェブメールポータル、クラウドサービス、またはVPN接続へのアクセスを表す可能性があります。これらの盗まれた認証情報は、脅威アクターが境界防御を迂回し、正当なユーザー活動を装ってメールベースのフィッシングや直接的なランサムウェア展開を仕掛けることを可能にします。

主要ベンダーとその手口

Russian Marketのインフォスティーラーエコシステムは、少数の多作なベンダーによって支えられています。2025年上半期の市場シェア上位ベンダーは以下の通りです。

  • Nu####ez (38%): Lumma, Rhadamanthys, Acreedを使用。
  • bl####ow (24%): Lummaのみを使用。
  • Mo####yf (19%): 元々はクレジットカード販売者だったが、ボット販売に移行し、Lummaを使用。

sm####ezやco####erといった新規参入者も、同様のマルチスティーラー戦略で急速に存在感を増しています。

組織が取るべき対策

情報窃取型マルウェアは、認証情報ベースの侵入の原材料を提供することで、活況を呈するアンダーグラウンド経済を支えています。BreachForumsやXSSのようなフォーラムが閉鎖されたにもかかわらず、Russian Marketは継続的に運営されており、その回復力と適応性を示しています。

組織は防御を強化するために、以下の対策を講じる必要があります。

  • 多要素認証(MFA)の強制
  • 継続的な認証情報監視の実施
  • 脅威インテリジェンスフィードの統合により、異常なログイン活動を検出

主要ベンダーとインフォスティーラーの種類のプロファイリングは、Russian Marketの運営に関する貴重な洞察を提供し、従業員の認証情報の露出を防ぎ、壊滅的な二次攻撃のリスクを軽減するために、企業が今すぐ行動することの緊急性を強調しています。

元記事: https://gbhackers.com/russian-cybercrime-marketplace/

投稿をさらに読み込む