フォローする 
概要
Rapid7による2025年後半の5つのサイバー犯罪フォーラムのリスティングのレビューは、初期アクセスブローカーがより大企業にシフトしており、より高い権限を持つ足場に対してより多くの料金を請求していることを示唆しています。規制された環境での特権VPNおよびRDWebアクセスは、最も高い価格で広告されています。広告はまだRDP、VPN、およびRDWebを強調していますが、ドメイン管理者まで昇格した資格情報を促進することが増えています。DarkForumsやRAMPなどの新しいマーケットプレイスは、CVE-2025-61882のOracle E-Business Suiteのエクスプロイトの販売とともに、多くの活動を促進しています。
調査
このレポートは、Exploit、XSS、DarkForums、BreachForums、およびRAMPにおける6か月の投稿を分析し、アクセスタイプ、特権レベル、セクター、および地理を追跡します。結果には、価格の上昇、政府、小売、ITのターゲットへの焦点、およびCl0p活動に関連するゼロデイエクスプロイトへの言及が含まれています。
軽減策
最小権限を実施し、リモートアクセスにMFAを要求し、異常なログインと権限の変更についてアラートを出します。RDP/VPN/RDWebのインターネット露出を可能な限り除去し、盗まれた資格情報を迅速に無効化します。
対応
疑わしいアクセスが検出された場合は、アカウントを隔離し、資格情報を回転させ、MFAを確認し、横移動を探します。IOCを脅威インテリジェンスを介して共有し、関連するリスティングのためにフォーラムを監視します。
アタックフロー
この部分をまだ更新しています。通知を受け取るにはサインアップしてください
通知するシミュレーション実行
前提条件: テレメトリーおよびベースラインの事前確認が合格している必要があります。
根拠: このセクションは、検出ルールをトリガーするように設計された敵対手法(TTP)の正確な実行を詳述します。コマンドと説明は、識別されたTTPを直接反映し、検出ロジックによって期待される正確なテレメトリーを生成することを目的としています。
-
アタックナラティブおよびコマンド:
敵対者は、ターゲットとなるウェブサーバー上のOracle E-Business SuiteがCVE-2025-61882に対して脆弱であることを特定しました。これを悪用するために、彼らは脆弱なエンドポイントを対象としたHTTP GETリクエストを作成し、URIに文字列“CVE-2025-61882”を挿入します。Sigmaルールはこの正確な文字列を監視しているため、このリクエストは一致するログエントリを生成し、アラートを発生させるでしょう。攻撃者はcurlを使用して、フラグされる可能性のあるクライアント側のツールを回避します。 -
回帰テストスクリプト:
#!/usr/bin/env bash # # ローカルApacheサーバーでのCVE-2025-61882のエクスプロイト試行をシミュレートします。 # Sigmaルールに必要な正確なテレメトリーを生成します。 set -euo pipefail TARGET="http://localhost" VULN_PATH="/OA_HTML/CVE-2025-61882/exploit" echo "[*] ${TARGET}${VULN_PATH}に対するエクスプロイトリクエストを送信中" curl -s -o /dev/null "${TARGET}${VULN_PATH}" echo "[+] リクエストが送信されました。Splunkでアラートを確認してください。" -
クリーンアップコマンド:
# ターゲットシステムに永続的な変更は行われませんでした。 # 必要に応じて、Apacheログからテストエントリをクリアしてベースラインをクリーンに保ちます。 sudo truncate -s 0 /var/log/apache2/access.log echo "[+] Apacheアクセスログをクリアしました。"