2月20日、地球上のすべてのサイバー脅威インテリジェンス研究者は、ブラックバスタランサムウェアグループの内部交換の歴史として提示されたほぼ50MBサイズの文書である新しい金鉱を発見しました。 既知の被害者とのこのファイルで言及されたサイバー攻撃の犠牲者の相互参照と、場合によっては、彼らのアカウントが持っている ドキュメントの信頼性を確認しました。しかし、もっとあります。 2月11日から発見されるのを待っていたリークの著者によると、GGは、グループの指導者の1人であるTRAMPが、2022年初頭にロシアの侵略に続いて、この仮名でこの仮名で知られています。ウクライナの。漏れが発生したマトリックスインスタンスの交換の一部は、TRAMPが仮名AAも使用していることを示すTOXの会話を指します。 財務フローはこれを確認します。 2023年4月10日、TRAMPは1fomikevryqivpbqogytrnor1mzsppbbwz（トランザクション11824680B6F06876EB33560354B87801579BE9A2AC14264E08524CDF76A4D）でUGWAYに支払いを行いました。 問題のビットコインが資金を供給された住所には、一部の住所は、TRAMPにリンクされていることが知られている住所をフィードするために使用されました：16OOSQZ7B9VVSDIZ8QBWPCOXRKQWQ3T43BI。 2022年9月29日から2024年5月29日まで使用され、347のトランザクションが合計で合計で約704のビットコインが受け取られました。 同じリンクは、1fputCyl6S6UQQVW4etCoavQJrfx3BFHDE（トランザクションF11E1AF8EA6352B62A50C6611FC0944CBF0FA1D4BF5BBBBBFC22A3F0202017F2475F25F25F25F25。 危険な絆 Black Bastaの活動に関与している人々のうち、特に注意に値する - 仮名SSDを使用している個人。 2023年11月10日、TRAMPは、グループのマトリックスインスタンスで彼のためにアカウントを作成することを求めました。 SSDはすぐにログオンしました。彼はすぐに深く関与しました - 2023年12月に彼からの1,640のメッセージがありました。 彼は主にロシア語を話しますが、彼のメッセージは時々翻訳ソフトウェアによってブルガリア語またはスロバキア人にあると解釈されます。 TOXでは、SSDは仮名DDも使用します。これで、彼は2023年12月7日頃にUsernameyyに連絡しています。Uesernamejjは彼を知っているようで、彼を「もっと執の」と紹介しています。実際、彼の活動は作業にもっと関係しているようです 悪意のあるコード 検出を避けるため。 しかし、SSDはグループと長い間存在することはありません - 最後のメッセージは2024年2月17日からです。その後、ラジオの沈黙 - 少なくともグループのマトリックスインスタンスで。 これは、12月30日に匿名のソースが提供するログによると、SSDとTRAMPが潜在的に長い間互いに知っていたためです。これらは、TOXでの定期的なプライベート交換を示しています。利用可能な最も早い日付は、2022年10月の終わりにさかのぼります。これは、最新の2023年2月末です。 その中で、TRAMPは、彼がESXIのランサムウェアを開発したと言い、少なくともその展開の自動化を「ロイヤル（現在のブラックスーツ）との一定の親密さ）に言及しています。彼はまた、必ずしも驚くべきことではない - 彼はコンティの90％を知っていると言います。 2022年11月12日に、TRAMPは、FSBとGRUについて明示的に言及し、固定時間で「デスクジョブ」を務めたロシアのintelligence報機関を定期的に「供給」したと述べました。 カムバックの試み？ 彼らのプライベート交流では、TRAMPとSSDは、特に2022年11月の初めにブラックバスタブランドの下で主張された被害者について、MitCon Consultancy＆Engineering Servicesについて話します。 1か月後、BianlianのWebサイトでも主張されました。ブラックバスタが主張した唯一の犠牲者は、2人が現在開示されている交換で開発されていないことを個人的に議論したと主張した唯一の犠牲者ではありませんでした。 ブラックバスタのマトリックスインスタンスからの彼の失andの後、SSDはカムバックしたか、少なくとも間接的にトランプと再接続しようとしたようです。 ニコラスは2024年5月の初めにSSDと接触したようで、それについて話をしようとします。彼は彼を特に高い生活水準を維持することができた大きな話者として提示します。 Nickolasは、ログインの詳細とセッショントークンを回復するために、ユーザーをオンラインバンキングサイトにリダイレクトすることにより、SSDが多額の資金を稼ぐことができたことを示唆しています。リークされた交換は、次に何が起こったのかの詳細を提供しません。 Trampの財政状況はうらやましいです。彼の活動に関連する財務フローを追跡すると、たとえば、20以上のビットコインを保持しているビットコインアドレス（執筆時点で200万ドル相当-1bhukxyozuk5v6u83tggafyojitbw3japy）が明らかになりました。この住所は1月28日に再び供給されました。 2017年9月から積極的に使用されています。 Contiから来た2,000のビットコイン 2023年1月17日に、bc1q77q346n52l0sj46dxfr9sh8xz6nv9uxakexmgqで統合されました。 トランプが欲しかった？ しかし、すべてがバラ色ではないかもしれません。最近の開示の著者は、名前をトランプの仮名に関連付けています。OlegNefedov -この名前は、アルメニアのメディアサイト168.amの列にも表示されます。 情報筋によると、オレグ・ネフェドフは6月21日にアルメニアで逮捕されました。地方裁判所は、72時間以内に彼の運命を支配することになっていた。しかし、この締め切りに間に合わなかった彼は釈放されました。この状況に責任がある裁判官は認可されています。 ネフォドフは、数十億ドルの不正取引への彼の関与に対して米国当局によって指名されていると伝えられています。現在まで、彼に対する起訴は米国司法省によって公表されていません。 ブラックバスタのマトリックスインスタンスの交換における仮名GGに関連する活動の分析は、2024年6月21日から7月2日までの活動が完全に存在しないことを示しています。 DTP - Source link original clik here

洗練されたフィッシング・アズ・ア・サービス（PhaaS）オペレーションがGoogleおよびMicrosoftのアカウントを標的にしており、多要素認証（MFA）を含む従来の防御メカニズムを回避できると、Okta脅威インテリジェンスの研究者が木曜日のブログ投稿で警告しました。 VoidProxyと名付けられたこのフィッシングオペレーションは、アドバーサリー・イン・ザ・ミドル（AitM）技術を使用して通常の認証フローを回避します。 研究者らがこのオペレーションに関連する攻撃を最初に確認したのは1月ですが、VoidProxyのダークウェブ広告は2024年8月にはすでに始まっていたようだとOktaの研究者は述べています。攻撃は現在も続いており、Oktaによると価値の高いアカウントが標的になっています。 「複数の組織で高い確度でアカウント乗っ取りが観測されています」とOktaの研究者はCybersecurity Diveへのメールで述べています。「さらに、VoidProxyは非フェデレーションユーザーをMicrosoftおよびGoogleのサーバーに直接プロキシするため、MicrosoftとGoogleではさらに多くのアカウント乗っ取り事例が観測されていると考えられます。」 VoidProxyサービスはセッショントークン、MFAコード、認証情報を取得し、SMSコードや認証アプリで使用されるワンタイムパスワードなどのMFA方式も回避できるとOktaは述べています。 攻撃の初期段階では、Constant Contact、Active Campaign、Notify Visitorsなどの正規のメールサービスプロバイダーを利用した侵害済みアカウントからフィッシング誘導メールが送信されます。アカウントの信頼性を利用することで、スパムフィルターを回避できるとOktaは説明しています。 攻撃者はこのようなオペレーションを利用して、ビジネスメール詐欺、システム内での横移動、標的組織からのデータ流出、その他の活動を行うことができるとOktaは述べています。 一部のケースでは、Oktaのパスワードレス認証サービス「Okta Fastpass」が悪意のある活動を検知し、攻撃を阻止しました。フィッシング耐性のある認証器を持つユーザーは、認証情報を共有したり、VoidProxyインフラを利用してサインインしたりすることができなかったとOktaは述べています。 Oktaの研究者は、今回の発見についてMicrosoftおよびGoogleに通知し、SaaSパートナーとも情報を共有、月曜日にはOktaの顧客にもこのフィッシングオペレーションについて警告したことを確認しました。 このオペレーションの構造により、脅威アクターが標的組織に対して独自のフィッシング攻撃を開始するために必要な技術的ハードルが実質的に下がると研究者らは述べています。 「このような新しいフィッシングキャンペーンが定期的に現れるため、私たちはこうした攻撃からユーザーを守るために耐久性のある保護策を設計しています」とGoogleの広報担当者はCybersecurity Diveに語りました。 この保護策には、ドメインなりすまし、フィッシングリンク、侵害された送信者からの保護が含まれると広報担当者は述べています。 Googleは、Oktaのレポートで推奨されている通り、ユーザーがフィッシング対策として強力な手段であるパスキーを採用することに同意していると広報担当者は付け加えました。 Microsoftはコメントを控えましたが、広報担当者は一般的な緩和策のガイダンスへのリンクを提供しました。 翻訳元:

In 2024, 62% of Proofpoint's customer tenants experienced at least one successful account takeover attempt.

Swiss cybersecurity firm Prodaft has launched a new initiative called 'Sell your Source' where the company purchases verified and aged accounts on hacking forums to to spy on cybercriminals.

イランのイスラエル攻撃に関連するものだと見せかけた虚偽の情報が、Xで拡散している。生成AIを使用してつくられた動画や写真のほか、過去の紛争の映像を再利用したものなど、全く関係のないコンテンツを今回のものだと騙るケースもある。

🕵️‍♂️ Collect a dossier on a person by username from thousands of sites - soxoj/maigret

🕵️‍♂️ Collect a dossier on a person by username from thousands of sites - soxoj/maigret

ログリー株式会社が提供するアカウントインテリジェンスツール「ウルテク」が、東京で開催されるEight EXPOに出展します。最新情報をチェック！

アカウントインテリジェンスと発注ナビを活用した営業手法が学べる無料ウェビナーが開催されます。詳しい内容をご紹介。