Okta、Uber 和 EA Games 之间有什么共同点?它们都成为了由一个接入点引发的网络攻击的受害者:被盗员工凭证。在不断变化的网络犯罪环境中,网络犯罪分子总能 巴西电报数据 找到获取公司敏感数据的方法。收集此类凭证的最流行方法之一是使用信息窃取恶意软件或简单地在僵尸网络市场和 Telegram 频道上购买机器人(已被信息窃取恶意软件入侵的机器)。
最近CISA 报告称
超过一半针对政府实体和关键基础设施的网络攻击涉及有效凭证。这意味着网络犯罪分子正在使用有效员工凭证或默认管理员凭证进行攻击。在获得登录凭证后(无论是通过购买还是免费获得),威胁行为者都会在各种活动中利用这些宝贵资产,从网络钓鱼到勒索软件攻击。
在这篇博文中,KELA 研究了两种获取凭证的 调查工具来衡量和提高客 方法之间的对比:俄罗斯市场、Genesis 和 TwoEasy 等僵尸网络市场(允许个人购买机器人)和“日志云”。日志云以订阅方式运行,允许威胁行为者通过 Telegram 等平台一起购买和使用多个机器人。用户友好的 Telegram 界面、广泛的机器人共享以及多样化的行为者和信息窃取工具共同增强了这个消息平台进行此类交易的吸引力和便利性。
Telegram 上的日志云
Telegram 是最受欢迎的平台之一,通过包含来自许多机器人的信息的渠道提供对日志的访问。这些 Telegram 频道提供公共样本或允许基于订阅的私人日志访问。
日志文件包含存储在机器上的所有敏感数据。这包括不同帐户和 aqb 目录 应用程序的凭证,从登录到 VPN、RDP 和业务服务到银行帐户以及社交媒体和游戏平台帐户。
威胁者通过使用 Redline、Raccoon、Vidar 等信息窃取恶意软件获取日志。这些攻击者使用恶意软件感染受害者的设备,以此来渗透和访问高度敏感的数据,包括私人和公司凭证。
在过去的一年里,日志云在“传统市场”上越来越受欢迎。威胁者不断提供公共和私人日志服务,在网络犯罪论坛和 Telegram 频道上分享和出售大量每日日志。网络犯罪聊天显示了攻击者用来非常轻松和廉价地套现日志的方法。