-
Analyst's Choice
Cyber Intelligence
フィッシング
GmailとMS 365の利用者は注意を:フィッシングキット「Tycoon 2FA」の概要と対策
Rory
2024.04.16
-
Analyst's Choice
AI
Cyber Intelligence
OSINT
DarkGPT – ChatGPT-4を活用した、流出データベース検出のためのOSINTツール
Rory
2024.04.15
-
Analyst's Choice
Cyber Intelligence
GitHub
Intelligence
脅威アクターがGitHubを不正な目的で悪用するケースが増加
Rory
2024.02.07
IntelBrokerの正体に接近:OSINTで得られた手がかりとは
悪名高いサイバー脅威アクターIntelBrokerの正体を暴き得るいくつかの手がかりを、サイバーインテリジェンス企業のKELAが共有。これらの手がかりは、OSINT調査やリークデータの分析を通して特定されたものだという。
IntelBrokerとは?
IntelBrokerは2022年後半からサイバー犯罪シーンに参入した脅威アクターで、最初にその存在が観測されたのは初代BreachForums。まずランサムウェアのオペレーターとして急速に名声を確立すると、多数のデータ侵害を起こして企業や政府組織を脅かすようになった。主な標的にはAMD、ユーロポール、シスコなどが知られるほか、BreachForumsのリーダー的役割を担っていることもあり、現在における最も注目度の高いサイバーアクターの1人となっている。
関連記事:
IntelBrokerのデジタルフットプリントに繋がり得るOSINT上の手がかり
IntelBrokerは、オペレーションを密かに実行できるよう高度な匿名性維持ツールを用いるなど、OpSecにかなり力を入れていることで知られる。しかし今回KELAのアナリストは、同アクターのデジタルフットプリントやオペレーションのエコシステムを明らかにし得るOSINT上の手がかりをいくつか突き止めることができたという。
①Eメールアドレス
KELAは、IntelBrokerというユーザー名に紐づくEメールアドレスを複数発見。ただ、このアクターのものだという裏付けが取れたのは以下の4つだけだったとされる。
- cock.liドメインのEメール:現在は凍結されているX(旧Twitter)アカウント「@IntelBroker」のメールアドレスとして登録されたもの。
- proton.meドメインのEメール:初代BreachForumsがFBIによってテイクダウンされた後に登場したBreachForums V2からリークされた情報内に存在したメールアドレス。
- 同じくproton.meドメインのEメール:初代BreachForumsに関連するリーク情報内に存在したメールアドレス。Amazon、Vimeo、Dailymotion、Keybase、X、Dropboxと複数サービスのアカウントを登録する際に使われていた。
- national.shitposting.agencyドメインのEメール:IntelBrokerが過去にBreachForums上のプロフィールページに掲載していたメールアドレス。同アクターの凍結済みXアカウントやKeybaseアカウントのほか、Skypeやマイクロソフトなどのプラットフォームでも使われていたとされる。
②VPN関連の情報
KELAは、2024年7月にリークされたBreachForumsのユーザーデータベースやユーザー間のメッセージなどの情報を分析し、IntelBrokerが用いるVPNや位置情報についての手がかりを特定したという。
- IntelBrokerが最も多く利用するVPNサービスは、Mullvad VPN。TunnelBearもその次に頻繁に使われ、まれにNordVPN、VeePN、VPNAsiaといったサービスも使われている。
- IntelBrokerは自身の所在地がセルビアであると主張しているが、これらのVPN接続の大半も出どころはセルビア。ただ、これは追跡者を欺くための偽の痕跡である可能性もある。
- その他の関連する地理的位置には、米バージニア州アッシュバーンやアムステルダムがあった。
③Minecraft関連の情報
ビデオゲームMinecraft(マインクラフト)におけるIntelBrokerの活動からも、同アクターのデジタルフットプリントに関する興味深い要素が見つかったという。
- ユーザー名「ClamAV」:2022年12月にBreachForums上で明かされた同アクターのMinecraftアカウント。アカウントは2020年に作成されており、所在地としてセルビアが登録されている。このアカウントは、オランダとフランスにリゾルブされるVPNまたはプロキシサービスと関連している模様。
- ユーザー名「Thick」:2024年10月にInterBrokerがMinecraft関連のYouTube動画に参加した際に使用していたユーザー名。Minecraftから流出した情報によると、このアカウントはフロリダで登録されたIPアドレスに結びついている。2010年に作成されたアカウントだが、IntelBrokerが作成当初からこのアカウントを使用していたのか、または後々ほかの人物から入手したのかは不明。
④ハッキンググループAgainstTheWest(ATW)との繋がり
中国の組織を攻撃することで知られるハッキンググループAgainstTheWest(ATW)と、IntelBrokerは関連している可能性があるとKELAは評価。これには、両アクターがそれぞれのプロフィール内で同一の暗号資産(モネロ)アドレスを利用していることや、文章のスタイルやワードチョイスに驚くほどの類似性が認められることなどに基づいているという。
サイバー犯罪インテリジェンスにおけるOSINTの重要性
今回のように、Eメールアドレス関連の痕跡やVPNに関する情報、Minecraftのようなプラットフォームの情報、サイバー犯罪フォーラムからの流出情報を分析していくことで、隠れた繋がりが明らかになり、脅威アクターに関する重要な情報が暴き出されていくことがある。こうした情報は法執行機関の捜査に役立つのみならず、組織の防御力向上にも寄与し得ることを踏まえると、現代のサイバー脅威理解において、OSINT調査やリークデータの分析を行うことの重要性が日々増していることが改めて浮き彫りになっている。
【無料配布中!】インテリジェンス要件定義ガイド
インテリジェンス要件定義に関するガイドブック:『要件主導型インテリジェンスプログラムの構築方法』
以下のバナーより、優先的インテリジェンス要件(PIR)を中心とした効果的なインテリジェンスプログラムを確立するためのポイントなどを解説したSilobreaker社のガイドブック『要件主導型インテリジェンスプログラムの構築方法』の日本語訳バージョンを無料でダウンロードいただけます。
<ガイドブックの主なトピック>
本ガイドブックでは、優先的インテリジェンス要件(PIR)の策定にあたって検討すべき点と、PIRをステークホルダーのニーズに沿ったものにするために考慮すべき点について詳しく解説しています。具体的には、以下のトピックを取り上げます。
- 脅威プロファイルの確立
- ステークホルダーの特定・分析
- ユースケースの確立
- 要件の定義と管理
- データの収集と処理
- 分析と生産
- 報告
- フィードバック
- 実効性の評価
