地下経済の自動化革命との闘い

地下経済の自動化革命との闘い

自動化はほぼすべての業界で不可欠な部分となっており、サイバーセキュリティほどこれが当てはまる場所はありません。 しかし、残念ながら、自動化のメリットは、犯罪企業にも防御者にも等しく利用できます。 そのため、犯罪者のアンダーグラウンドは、キャンペーンを運用して収益化するためのツールとリソースのエコシステムを構築してきましたが、SOARは、防御的なインテリジェンスフィードを自動化し、それらを自動検出および防止と組み合わせることで、防御側に有利なバランスを取り戻すために使用できます。

Recorded FutureのInsikt Groupによる調査では、悪意のあるキャンペーンに関連するタスクを自動化するために脅威アクターが使用するツールとサービス、および SOAR と 脅威インテリジェンスソリューション。

underground-economy-automation-1-1.gif

サイバー攻撃は、脅威アクターがネットワークへの不正アクセスを取得し、アンダーグラウンドフォーラムで認証情報を販売した結果、侵害されたネットワークや認証情報のデータベースから始まることがよくあります。 このアクセスは、ネットワーク内の特権昇格、ビジネスメール詐欺、ランサムウェア、およびその他の種類の攻撃に使用される可能性があります。

軽減戦略には次のものが含まれます。

underground-economy-automation-2-2.gif

データ侵害によって取得した認証情報を持つ攻撃者は、チェッカーやブルートフォース攻撃を利用して、大規模な自動ログインリクエストを送信し、被害者の正当性を判断したり、何千ものアカウントに対するクレデンシャルスタッフィング攻撃によって不正アクセスを獲得したりします。

軽減戦略には次のものが含まれます。

underground-economy-automation-3-1.gif

また、脅威アクターは、ローダーやクリプターを適用して、ウイルス対策などのエンドポイントセキュリティ製品による検出を回避し、マルウェアなどの悪意のあるペイロードを1つ以上ダウンロードして実行します。

軽減戦略には次のものが含まれます。

underground-economy-automation-4-1.gif

スティーラーとキーロガーは、認証情報、PII、支払いカード情報などの機密情報を被害者から盗み出し、被害者のシステムにセカンダリペイロードをインストールするために使用されます。

軽減戦略には次のものが含まれます。

underground-economy-automation-5-1.gif

独自のスクリプトを作成する必要がないため、脅威アクターは、広く公開され、人気があり、詐欺を実行するための強力なツールであるバンキングインジェクションを簡単に入手できます。 偽のオーバーレイまたはモジュールは、バンキング型トロイの木馬で使用され、HTMLまたはJavaScriptコードを挿入して、正規のWebサイトにリダイレクトする前に機密情報を収集します。

軽減戦略には次のものが含まれます。

underground-economy-automation-6-1.gif

エクスプロイトキットは、Webブラウザの脆弱性のエクスプロイトを自動化して、感染の成功を最大化するために使用され、トロイの木馬、ローダー、ランサムウェア、その他の悪意のあるソフトウェアなどの悪意のあるペイロードを配信します。

軽減戦略には次のものが含まれます。

underground-economy-automation-7-1.gif

攻撃者は、スパムやフィッシングサービスを利用して、何十万人もの被害者にアクセスし、マルウェアを展開したり、ネットワークにさらにアクセスしたりするための電子メールキャンペーンを実施します。

軽減戦略には次のものが含まれます。

underground-economy-automation-8-1.gif

犯罪行為の寿命を延ばすために、脅威アクターはプロキシと防弾ホスティングサービス(BPHS)を活用して活動を難読化します。 BPHSは、悪意のあるコンテンツやアクティビティの安全なホスティングと、業務を妨害したり逮捕につながったりする法的要求に従わないことを約束するモデルに依存することで、匿名性を提供します。

軽減戦略には次のものが含まれます。

underground-economy-automation-9-1.gif

アンダーグラウンド経済では、スニファーとは、JavaScriptで記述されたマルウェアの一種を指し、eコマースWebサイトのチェックアウトページからカード非提示(CNP)データを侵入して盗むように設計されています。

軽減戦略には次のものが含まれます。

underground-economy-automation-10-1.gif

脅威アクターが取得したコンテンツを収益化するために、盗んだデータをオンラインのクレジットカードショップ、アカウントショップ、マーケットプレイスで販売しています。 銀行口座、携帯電話アカウント、オンラインストアアカウント、デートアカウント、さらには侵害されたシステムのデジタル指紋の資格情報を売買することで、さらなる侵害を促進することでお金が稼がれます。

軽減戦略には次のものが含まれます。

脅威アクターがタスクを自動化するために現在使用している 10 種類のツールとサービス、および防御側が実装すべき推奨される緩和策の詳細については、Recorded Future の Insikt Group によるレポートの全文「地下経済における自動化とコモディティ化」をご覧ください。