Erstzugangsvermittler nehmen jetzt hochkarätige Opfer ins Visier und verlangen Premiumpreise

Zusammenfassung

Rapid7s Untersuchung von H2 2025-Angeboten auf fünf Cybercrime-Foren legt nahe, dass Initial Access Broker sich zunehmend auf größere Unternehmen konzentrieren und höhere Preise für Zugänge mit höheren Privilegien verlangen. Privilegierter VPN- und RDWeb-Zugang in regulierten Umgebungen wird zu den höchsten Preisen angeboten. Anzeigen betonen weiterhin RDP, VPN und RDWeb, fördern aber zunehmend erhöhte Zugangsdaten bis hin zu Domain-Admin. Neuere Marktplätze wie DarkForums und RAMP treiben nun einen Großteil der Aktivitäten an, neben dem Verkauf eines Exploits für CVE-2025-61882 in Oracle E-Business Suite.

Untersuchung

Der Bericht analysierte sechs Monate Beiträge auf Exploit, XSS, DarkForums, BreachForums und RAMP und verfolgte Zugriffstyp, Berechtigungsstufe, Sektor und Geografie. Zu den Ergebnissen gehören steigende Preise, ein Fokus auf Regierungs-, Einzelhandels- und IT-Ziele und Hinweise auf einen Zero-Day-Exploit, der mit Cl0p-Aktivitäten in Verbindung steht.

Abschwächung

Durchsetzen des Prinzips der minimalen Rechte, MFA für Remotezugriffe verlangen und vor ungewöhnlichen Anmeldungen und Berechtigungsänderungen warnen. Internetzugang für RDP/VPN/RDWeb, wo möglich, entfernen und gestohlene Anmeldedaten schnell ungültig machen.

Reaktion

Wenn verdächtiger Zugriff entdeckt wird, das Konto isolieren, Anmeldedaten ändern, MFA bestätigen und nach seitlicher Bewegung suchen. IOCs über Bedrohungsinformationen teilen und Foren auf verwandte Angebote überwachen.

Ausführung der Simulation

Voraussetzung: Der Telemetrie- und Grundlinien-Vorabcheck muss bestanden haben.

Begründung: Dieser Abschnitt beschreibt die genaue Ausführung der gegnerischen Technik (TTP), die darauf abzielt, die Erkennungsregel auszulösen. Die Befehle und die Beschreibung MÜSSEN die identifizierten TTPs direkt widerspiegeln und darauf abzielen, die genau von der Erkennungslogik erwartete Telemetrie zu generieren.

• Angriffserzählung & Befehle:
  Der Angreifer hat festgestellt, dass Oracle E-Business Suite auf dem Ziel-Webserver für CVE-2025-61882 anfällig ist. Um dies auszunutzen, konstruieren sie eine HTTP-GET-Anfrage, die auf einen verwundbaren Endpunkt abzielt und die Zeichenfolge „CVE-2025-61882“ in die URI einfügt. Da die Sigma-Regel genau auf diese Zeichenfolge achtet, wird die Anfrage einen passenden Logeintrag erzeugen und einen Alarm auslösen. Der Angreifer verwendet curl um jegliche clientseitigen Werkzeuge zu vermeiden, die möglicherweise markiert werden könnten.

• Regressionstestskript:

  #!/usr/bin/env bash
  #
  # Simuliere einen Ausnutzungsversuch von CVE-2025-61882 auf einem lokalen Apache-Server.
  # Erzeugt die genau für die Sigma-Regel erforderliche Telemetrie.
  
  set -euo pipefail
  
  TARGET="http://localhost"
  VULN_PATH="/OA_HTML/CVE-2025-61882/exploit"
  
  echo "[*] Sende Exploit-Anfrage an ${TARGET}${VULN_PATH}"
  curl -s -o /dev/null "${TARGET}${VULN_PATH}"
  
  echo "[+] Anfrage gesendet. Überprüfen Sie Splunk für den Alarm."

• Bereinigungskommandos:

  # Es wurden keine dauerhaften Änderungen am Zielsystem vorgenommen.
  # Optional kann der Testeintrag aus dem Apache-Log gelöscht werden, um die Grundlinie sauber zu halten.
  
  sudo truncate -s 0 /var/log/apache2/access.log
  echo "[+] Apache-Zugriffs-Log geleert."