Hackers' forum credentials compromised in info-stealer attacks

研究者らは、サイバー犯罪フォーラムの認証情報を含む 120,000 の感染システムを発見しました。研究者らによると、コンピューターの多くはハッカーのものだという。

データを分析した脅威研究者は、ハッキング フォーラムへのログインに使用されるパスワードは、一般に政府の Web サイトのパスワードよりも強力であることを発見しました。

ハッカーのログインが侵害される

脅威インテリジェンス会社ハドソン ロックの研究者は、100 のサイバー犯罪フォーラムをくまなく調べた結果、一部のハッカーが誤ってコンピュータに感染し、ログイン情報を盗まれたことを発見しました

ハドソンロックによれば、侵害されたコンピュータのうち 10 万台はハッカーのもので、サイバー犯罪フォーラムの認証情報の数は 14 万件を超えていたという。

研究者らは、一般公開されている漏洩情報や、脅威アクターから直接入手した情報窃取ログから情報を収集しました。

情報窃盗は、コンピュータ上の特定の場所でログイン情報を検索するマルウェアの一種です。一般的なターゲットは、自動入力機能とパスワード保存機能があるため、Web ブラウザーです。

ハドソンロック社の最高技術責任者であるアロン・ガル氏は、「世界中のハッカーが、偽ソフトウェアの結果を宣伝したり、被害者に感染したソフトウェアをダウンロードするよう指示する YouTube チュートリアルを通じて、日和見的にコンピュータを感染させている」と語った。

この誘惑に引っかかった者の中には、スキルの低いハッカーも含まれていたため、近道を試みた他のだまされやすいユーザーと同じように感染してしまいました。

侵害されたコンピュータの所有者をハッカー、または少なくともハッカー愛好家として特定することは、情報窃取者のログのデータを調べることで可能であり、個人の本当の身元も明らかになりました。

  • コンピュータ上で見つかった追加の資格情報 (追加の電子メール、ユーザー名)
  • 個人情報(名前、住所、電話番号)を含むデータの自動入力
  • システム情報(コンピュータ名、IPアドレス)

以前のブログ投稿で、Hudson Rock は、企業に Citrix/VPN/RDP アクセスを販売することで知られる La_Citrix と呼ばれる著名な攻撃者がどのようにして誤って企業のコンピュータに感染したかについて説明しました

ハドソン ロックは、収集したデータを調べて、侵害された 57,000 人を超えるユーザーが新進のサイバー犯罪者の Nulled[.]to コミュニティのアカウントを持っていたと判断しました。

サイバー犯罪フォーラムのアカウントが情報窃盗者によって漏洩
情報窃取者によってサイバー犯罪フォーラムのアカウントが公開される
出典: ハドソン・ロック

研究者らによると、 BreachForumsのユーザーはサイトにログインするための最も強力なパスワードを使用しており、認証情報の 40% 以上が 10 文字以上で 4 種類の文字を含んでいることがわかりました。

BreachForums アカウントのより強力なパスワード
BreachForums のユーザーはより強力なパスワードを使用していました
出典: ハドソン・ロック

ただし、ハッカーは連続した数字の文字列のような非常に弱いパスワードも使用しました。これは、彼らがコミュニティに参加することへの関心の欠如によって説明される可能性があります。

彼らは、議論を追い続けたり、どのようなデータが販売されているかを確認したり、より重要なことが起こったときにフォーラムにアクセスしたりするためだけにアカウントを使用している可能性があります。

研究者らはまた、差は大きくないものの、サイバー犯罪フォーラムの認証情報は一般的に政府 Web サイトのログイン情報よりも強力であることも発見しました。

情報窃盗者のログには、サイバー犯罪フォーラムのより強力なパスワードが示されています
情報窃取者のログには政府サービス用のパスワードが弱かった
ソース;ハドソンロック

Hudson Rock によると、感染のほとんどは、RedLine、Raccoon、Azorult という 3 つの情報窃取者だけからのもので、多くのハッカーに人気のある情報窃盗者でもあります。

現時点では、多くの初期アクセス侵害は、情報窃取者によって始まります。情報窃取者は、脅威アクターが正規ユーザーになりすますために必要なすべてのデータ (通常はシステム フィンガープリントと呼ばれます) を収集します。