Pew Pew Map of the World

ブラックバスタのランサムウェア作戦は、ファイアウォールやVPNのようなエッジネットワーキングデバイスを突破するために、「BRUTED」と名付けられた自動ブルートフォースフレームワークを作成した。

このフレームワークにより、BlackBastaは最初のネットワークアクセスを効率化し、脆弱なインターネットに露出したエンドポイントへのランサムウェア攻撃を拡大することが可能になった。

BRUTEDの発見は、EclecticIQの研究者であるArda Büyükkayaがランサムウェアギャングの流出した内部チャットログを詳細に調査した結果、明らかになったものです。

2024年を通じて、これらのデバイスに対する大規模なブルートフォース 攻撃やパスワードスプレー攻撃が複数 報告されており、そのうちのいくつかはBRUTEDまたは類似した起源の操作に関連している可能性があります。

ブルートフォースの自動化

Büyükkaya氏によると、Black Bastaは2023年以来、自動化されたBRUTEDプラットフォームを使用して、エッジ・ネットワーク・デバイスに対して大規模なクレデンシャル・スタッフィングとブルート・フォース攻撃を行っているとのことです。

ソースコードの分析によると、このフレームワークは、特に以下のVPNおよびリモートアクセス製品の認証情報をブルートフォースするように設計されている:SonicWall NetExtender、Palo Alto GlobalProtect、Cisco AnyConnect、Fortinet SSL VPN、Citrix NetScaler (Citrix Gateway)、Microsoft RDWeb (Remote Desktop Web Access)、WatchGuard SSL VPN。

Attack approach used for each product
各製品で使用された攻撃手法
出典:EclecticIQ:EclecticIQ

フレームワークは、サブドメインを列挙し、IP アドレスを解決し、「.vpn」や「remote」のようなプレフィックスを付加することで、ターゲットリストに一致する一般にアクセス可能なエッジネットワーキングデバイスを検索する。マッチはコマンド・アンド・コントロール(C2)サーバーに報告される。

潜在的なターゲットが特定されると、BRUTEDはリモート・サーバーからパスワード候補を取得し、ローカルで生成された推測値と組み合わせて、複数のCPUプロセスを介して多数の認証要求を実行する。

Büyükkaya氏は、このツールがブルートフォース攻撃において、標的となる各デバイスの特定のリクエスト・ヘッダとユーザー・エージェントをどのように利用しているかを示すソース・コードを、”BRUTED “と共有している。

Source code snippet for Cisco AnyConnect (ASA) brute force function
Cisco AnyConnect (ASA) ブルートフォース機能のソースコードスニペット
ソースは こちら:

EclecticIQのレポートによると、BRUTEDはターゲットとなるデバイスのSSL証明書からCommon Name(CN)とSubject Alternative Names(SAN)を抽出することができ、ターゲットのドメインと命名規則に基づいて追加のパスワード推測を生成するのに役立つとのことです。

Overview of Black Basta attacks involving BRUTED
BRUTED が関与する Black Basta 攻撃の概要
出典:EclecticIQ:EclecticIQ

検出を回避するために、このフレームワークは、中間層の背後に攻撃者のインフラを隠す興味深いドメイン名を持つSOCKS5プロキシのリストを使用します。

Proxy servers used by Black Basta's BUSTED framework
Black BastaのBUSTEDフレームワークが使用するプロキシサーバー
出典:BleepingCoputer:BleepingCoputer

主なインフラはロシアにある複数のサーバーで構成され、Proton66(AS 198953)で登録されている。

リークされたチャットログからは、料金未払いによるサーバーのダウンタイムに関する内部的な議論も明らかになっており、後に更新されたことで、ランサムウェア・ギャングが対処しなければならない日々のオペレーションを垣間見ることができる。

ブルートフォースからの防御

BRUTEDのようなツールは、最小限の労力で一度に多くのネットワークを侵害することで、ランサムウェアの運用を効率化し、脅威行為者の収益化の機会を増やします。

重要な防御戦略は、すべてのエッジ・デバイスとVPNアカウントに強力で固有のパスワードを強制し、認証情報が漏洩した場合でも多要素認証(MFA)を使用してアクセスをブロックすることである。

また、不明な場所からの認証試行や大量のログイン失敗を監視し、レート制限やアカウント・ロックアウト・ポリシーを導入することも極めて重要です。

ElecticIQは、悪意のある既知のインフラからのリクエストをブロックする新しいファイアウォールルールを作成するために使用できる、BRUTEDが使用するIPとドメインのリストを共有しています。

BRUTEDは、ネットワーク・エッジ・デバイスに侵入する脆弱性を悪用するものではありませんが、最新のセキュリティ・アップデートを適用することで、これらのデバイスを最新の状態に保つことは非常に重要です。

.ia_ad { background-color:#width: 95%; max-width: 800px; margin: 15px auto; border-radius: 8px; border:1px solid #d6ddee; display: flex; align-items: stretch; padding: 0; overflow: hidden; }:0; overflow: hidden; } .ia_lef { flex: 1; max-width: 200px; height: auto; display: flex; align-items: stretch; } .ia_lef a { display: flex; width: 100%; height: 100%; } .ia_lef a img { width: 100%; height: 100%; object-fit: cover; border-radius: 8px 0 0 8px; margin: 0; display: block; } .ia_rig { flex: 2; padding:display: flex; flex-direction: column; justify-content: center; } .ia_rig h2 { font-size: 17px !important; font-weight: 700; color:#line-height: 1.4; font-family:margin: 0 0 14px 0; } .ia_rig p { font-weight: bold; font-size: 14px; margin: 0 0 clamp(6px, 2vw, 14px) 0; } .ia_button { background-color:#border:1px solid #3b59aa; color: black; text-align: center; text-decoration: none; border-radius: 8px; display: inline-block; font-size: 16px; font-weight: bold; cursor: pointer; padding:10px 20px; width: fit-content; } .ia_button a { text-decoration: none; color: inherit; display: block; } @media (max-width: 600px) { .ia_ad { flex-direction: column; align-items: center; text-align: center; } .ia_lef { max-width: 100%; } .ia_lef a img { border-radius: 8px 8px 0 0; } .ia_rig { padding:15px; width: 100%; } .ia_button { width: 100%; } .


Red Report 2025

攻撃の93%を支えるMITRE ATT&CK©テクニックのトップ10

1,400万件の悪意のあるアクションの分析に基づき、攻撃の93%を支えるMITRE ATT&CKテクニックのトップ10とその防御方法をご覧ください。