I Broker di Accesso Iniziale Ora Puntano a Vittime di Alto Valore e Applicano Tariffe Premium

Sintesi

La revisione di Rapid7 delle inserzioni nella seconda metà del 2025 su cinque forum di cybercrimine suggerisce che i Broker di Accesso Iniziale si stiano spostando verso imprese più grandi e stiano addebitando di più per punti di accesso con privilegi più elevati. L’accesso privilegiato a VPN e RDWeb in ambienti regolamentati viene pubblicizzato ai prezzi più alti. Gli annunci continuano a enfatizzare RDP, VPN e RDWeb, ma promuovono sempre più credenziali elevate fino all’amministratore del dominio. I nuovi marketplace come DarkForums e RAMP ora guidano gran parte dell’attività, insieme alle vendite di un exploit per CVE-2025-61882 in Oracle E-Business Suite.

Indagine

Il rapporto ha analizzato sei mesi di post su Exploit, XSS, DarkForums, BreachForums e RAMP, tracciando il tipo di accesso, livello di privilegio, settore e geografia. I risultati includono prezzi in aumento, un focus su obiettivi governativi, retail e IT, e riferimenti a un exploit zero-day legato all’attività di Cl0p.

Mitigazione

Enforce il principio di privilegio minimo, richiedi l’MFA per l’accesso remoto e allerta su accessi anomali e cambiamenti di privilegio. Rimuovi l’esposizione a Internet per RDP/VPN/RDWeb dove possibile e invalida rapidamente le credenziali rubate.

Risposta

Se viene rilevato un accesso sospetto, isola l’account, ruota le credenziali, conferma l’MFA e cerca movimenti laterali. Condividi gli IOC tramite intelligence sulle minacce e monitora i forum per inserzioni correlate.

Esecuzione Simulazione

Prerequisito: Il Controllo Preliminare di Telemetria & Baseline deve essere stato superato.

Motivazione: Questa sezione dettaglia l’esatta esecuzione della tecnica dell’avversario (TTP) progettata per attivare la regola di rilevamento. I comandi e la narrativa DEVONO riflettere direttamente i TTP identificati e mirare a generare la telemetria esatta prevista dalla logica di rilevamento.

• Narrativa & Comandi dell’Attacco:
  L’avversario ha identificato che Oracle E‑Business Suite sul server web di destinazione è vulnerabile a CVE‑2025‑61882. Per sfruttarla, crea una richiesta HTTP GET mirata a un endpoint vulnerabile, inserendo la stringa letterale “CVE-2025-61882” nell’URI. Poiché la regola Sigma cerca esattamente questa stringa, la richiesta genererà un’entrata di log corrispondente, causando un’allerta. L’attaccante utilizza curl per evitare qualsiasi strumento lato client che potrebbe essere segnalato.

• Script di Test di Regressione:

  #!/usr/bin/env bash
  #
  # Simula un tentativo di sfruttamento di CVE-2025-61882 su un server Apache locale.
  # Genera la telemetria esatta richiesta per la regola Sigma.
  
  set -euo pipefail
  
  TARGET="http://localhost"
  VULN_PATH="/OA_HTML/CVE-2025-61882/exploit"
  
  echo "[*] Inviando richiesta di exploit a ${TARGET}${VULN_PATH}"
  curl -s -o /dev/null "${TARGET}${VULN_PATH}"
  
  echo "[+] Richiesta inviata. Controlla Splunk per l'allerta."

• Comandi di Ripristino:

  # Non sono state apportate modifiche persistenti al sistema di destinazione.
  # Facoltativamente, cancella la voce di test dal log di Apache per mantenere pulita la baseline.
  
  sudo truncate -s 0 /var/log/apache2/access.log
  echo "[+] Log di accesso Apache cancellato."