Microsoft Disrupts Cybercrime Service That Created 750 Million Fraudulent Accounts
2023/12/15 SecurityWeek — 12月13日に Microsoft は、CaaS (Cybercrime-as-a-Service) エコシステムである Storm-1152 の破壊を発表した。この CaaS は、7億5000万もの不正な Microsoft アカウントを作成して、数百万ドルの不正収益を上げていたと見られている。具体的に言うと、Storm-1152 のサービスにサポートされる、他のサイバー犯罪グループが、フィッシング/スパム/ランサムウェア/分散型サービス拒否 (DDoS) などの攻撃を行っているという。
Microsoft は、「Storm-1152 は、不正な Web サイトやソーシャルメディア・ページを運営して、Microsoft の不正アカウントやツールを販売し、有名なテクノロジー・プラットフォーム全体において本人確認のステップをバイパスさせている。犯罪者たちは、これらのサービスを利用することで、オンラインで犯罪/悪用の行為に費やす時間と労力を削減できる」と指摘している。
Storm-1152 の顧客の1つである Octo Tempest (別名:Scattered Spider/0ktapus) は、不正アカウントを使用して、金銭的恐喝を目的としたソーシャル・エンジニアリング攻撃をしかける。さらに、Storm-0252/Storm-0455 などのランサムウェアや恐喝グループなども、この CaaS からアカウントを購入していた。
2021年8月から Storm-1152 を追跡している、ボット管理およびアカウント・セキュリティ企業である Arkose Labs の協力を得た Microsoft は、この CaaS の活動およびインフラに関する情報を収集し、米国にある Storm-1152 インフラを差し押さえる裁判所命令を取得した。
12月7日に出された裁判所命令により、Microsoft は Hotmailbox[.]me/1stCAPTCHA/AnyCAPTCHA/NoneCAPTCHA などのドメインと、この CaaS が不正サービスの宣伝に使用していた、ソーシャルメディア・アカウントの差し押さえに成功した。
さらに Microsoft は、Storm-1152 を操作していると思われる、ベトナムを拠点とする3人の人物 (Duong Dinh Tu/Linh Van Nguyễn (別名 Nguyễn Van Linh)/Tai Van Nguyen) の身元を明らかにした。
Microsoft は、「我々の調査結果によると、彼らは不正な Web サイトを運営し、動画チュートリアルで製品の使い方をステップごとに詳しく解説し、不正サービスのユーザーを支援するチャット・サービスを提供していた」と述べている。
最初に、Storm-1152 の活動を発見した Arkose Labs は、このグループの調査を開始し、Microsoft に調査結果を報告した。両社は共同で、Storm-1152 に関連する戦術/技術/手順 (TTP) の収集を開始し、そのインフラを特定した。
Arkose Labs によると、Storm-1152 は、CAPTCHA ソルバー・サービス間の切り替えを行うなどして、差し迫るセキュリティ対策を回避するために、ビジネス・モデルを転換していることが確認されている。
Arkose Labs は、「この攻撃の標的となり、被害を受けたと思われる数百万人のユーザーを代表して、Microsoft は Storm-1152 に対して訴訟を起こした。Arkose Labs は、攻撃に関する我々の詳細な証拠を提供することで、Microsoft を支援している」と述べている。この両社は、法執行機関に対しても調査結果を報告している。
このブログでは、Storm-1152 は初登場です。これまでにおいて、Storm-0558 に関する記事が何本かありますが、この Storm-xxxx という名称は、Microsoft が用いている追跡コードのようです。今日の記事は、不正アカウントの作成に関するものですが、2023/12/12 の「OAuth アプリに関する Microsoft の警告:侵害されたアカウントで悪意のアプリを作成」は、不正アプリの作成に関するものでした。よろしければ、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.