ハッキング・フォーラムの認証情報 10万件が流出:インフォ・スティーラーが活躍する別の世界

Over 100K hacking forums accounts exposed by info-stealing malware

2023/08/14 BleepingComputer — 研究者たちが発見した 120,000 の感染したシステムには、サイバー犯罪フォーラムにおける認証情報が含めているという。研究者たちによると、これらのコンピュータの多くはハッカーのものだという。データを分析したところ、ハッキング・フォーラムへのログインに使用されるパスワードは、政府組織で用いられている一般的な Web サイトのパスワードよりも強力であることが判明した。


ハッカーのログイン情報が漏洩

脅威インテリジェンス企業 Hudson Rock の研究者たちが、100件のサイバー犯罪フォーラムを調査した結果、一部のハッカーが不注意でマルウェアに感染し、ログイン情報を盗まれていることが発見された。同社によると、感染したコンピュータのうち 10万台がハッカーのものであり、サイバー犯罪フォーラムの認証情報は 14万件を超えていたという。

研究者たちは、一般に公開されているリーク情報だけでなく、脅威アクターたちからダイレクトに入手した、インフォ・スティーラーのログも収集している。インフォ・スティーラーとは、コンピュータ上の特定の場所を検索して、ログイン情報を探すマルウェアの一種である。よく狙われるのは、自動入力機能やパスワード保存機能がある、Web ブラウザである。

Hudson Rock の CTO である Alon Gal は、「世界中のハッカーが、検索結果における偽ソフトウェアの宣伝や、悪意の YouTube チュートリアルを通じて、マルウェアを取り込んだソフトウェアをダウンロードするよう被害者を誘導し、効率よく感染を広げている」と、BleepingComputer に語っている。

この誘い文句に引っかかった人の中には、別のハッカーも含まれている。おそらく、スキルの低いハッカーであるため、近道をしようとして感染してしまったのだろう。これらの感染したコンピュータの所有者を、ハッカーあるいはハッキング・マニアとして特定することは、情報窃盗者のログ・データを確認すれば可能であり、その個人の本当の身元も明らかになった:

  • コンピュータで見つかった別の認証情報 (別の電子メール/ユーザー名)
  • 個人情報を含むオートフィル・データ (名前/住所/電話番号)
  • システム情報 (コンピュータ名/IP アドレス)

以前のブログ記事で Hudson Rock は、Citrix /VPN/RDP へのアクセス情報を販売することで有名な、La_Citrixと呼ばれる著名な脅威アクターが、誤ってマルウェアに感染した経緯を説明している。

収集されたデータを検証した Hudson Rock は、57,000人以上の感染したユーザーが、サイバー犯罪の新進気鋭のコミュニティである、Nulled[.]to のアカウントを持っていることを突き止めた。

Cybercrime forum accounts leaked by info-stealers
Cybercrime forum accounts exposed by info stealers
source: Hudson Rock

その一方で、BreachForums のユーザーたちは、サイトへのログインにおいて、最も強力なパスワードを用いてことが、研究者たちにより検証された。

Stronger passwords for BreachForums accounts
Users of BreachForums used stronger passwords
source: Hudson Rock

ただし、連続した数字の羅列のような、極めて弱いパスワードも使っていりハッカーもいた。おそらく、彼らは、同コミュニティに参加することに興味がなかったと考えられる。

それらのハッカーたちは、ディスカッションを参照するため、また、販売されているデータをチェックするため、何か重要なことが起こったときにフォーラムにアクセスするためだけに、アカウントを使っている可能性がある。

さらに研究者たちは、それぞれのサイバー犯罪フォーラムの認証情報には、強度的に大きな差はなく、政府系 Web サイトのログイン情報よりも強力であることを確認した。

Info-stealer logs show stronger passwords for cybercrime forums
Info-stealer logs had weaker passwords for government services
source; Hudson Rock

Hudson Rock によると、一連の感染における大半の経路は、多くのハッカーに人気のある、3つの情報スティーラー RedLine/Raccoon/Azorult であるという。

最新のトレンドとして、侵害にいけるイニシャル・アクセスの多くは、情報ステーラーから始まっている。情報ステーラーとは、脅威アクターが正規ユーザーになりすますために必要な、すべてのデータ (システム・フィンガープリントと呼ばれる) を収集していくマルウェアである。

ハッキング・フォーラム間の勢力争いなのか、それとも内輪の争いなのか、そのあたりは判りませんが、RedLine/Raccoon/Azorult などのインフォ・スティーラーが活躍しているようです。また、強固な認証を使っていると指摘されている BreachForums ですが、このブログ内を検索したところ、6件ほどの記事が見つかりました。