Брокери початкового доступу тепер націлені на жертв з високою цінністю та стягують преміальні ставки

Резюме

Огляд Rapid7 щодо оголошень за другу половину 2025 року на п’яти кіберзлочинних форумах свідчить про те, що брокери початкового доступу переходять до більших підприємств і стягують більшу плату за доступи з вищими привілеями. Привілейований доступ до VPN і RDWeb у регульованих середовищах рекламується за найвищими цінами. Оголошення все ще акцентують увагу на RDP, VPN та RDWeb, але все частіше просувають підвищені облікові дані до адміністратора домену. Новітні майданчики, такі як DarkForums і RAMP, зараз стимулюють значну частину активності, поряд із продажем експлоїта для CVE-2025-61882 у Oracle E-Business Suite.

Розслідування

Звіт аналізував шість місяців публікацій на Exploit, XSS, DarkForums, BreachForums та RAMP, відстежуючи типи доступу, рівень привілеїв, сектор та географію. Висновки включають зростання цін, акцент на урядові, роздрібні та ІТ-цілі, а також посилання на експлоїт нульового дня, пов’язаний з активністю Cl0p.

Пом’якшення

Забезпечте найменші привілеї, вимагайте багатофакторну аутентифікацію для віддаленого доступу та сповіщайте про аномальні входи та зміни привілеїв. Видаляйте інтернет-експозицію для RDP/VPN/RDWeb де це можливо, і швидко анулюйте вкрадені облікові дані.

Реагування

Якщо виявлено підозрілий доступ, ізолюйте обліковий запис, змініть облікові дані, підтвердьте багатофакторну аутентифікацію та ведіть пошук бокового руху. Діліться індикаторами компрометації через розвідувальну інформацію про загрози та відстежуйте форуми для пов’язаних оголошень.

Виконання симуляції

Попередня умова: перевірка телеметрії та базових налаштувань перед польотом повинна бути пройдена.

Обґрунтування: Цей розділ описує точне виконання техніки противника (TTP), розробленої з метою запуску правила виявлення. Команди та описання МАЮТЬ безпосередньо відображати ідентифіковані TTP і мають на меті генерувати точну телеметрію, очікувану логікою виявлення.

• Опис та команди атаки:
  Супротивник визначив, що Oracle E‑Business Suite на цільовому веб-сервері вразливий до CVE‑2025‑61882. Щоб експлуатувати її, вони створюють HTTP GET-запит, спрямований на вразливу кінцеву точку, вставляючи буквальний рядок “CVE-2025-61882” в URI. Оскільки правило Sigma відстежує саме цей рядок, запит генерує відповідний запис у журналі, викликаючи попередження. Атакуючий використовує curl щоб уникнути будь-яких інструментів з боку клієнта, які можуть бути відзначені.

• Скрипт тестування регресії:

  #!/usr/bin/env bash
  #
  # Симулює спробу експлуатації CVE-2025-61882 на локальному сервері Apache.
  # Генерує точну телеметрію, необхідну для правила Sigma.
  
  set -euo pipefail
  
  TARGET="http://localhost"
  VULN_PATH="/OA_HTML/CVE-2025-61882/exploit"
  
  echo "[*] Відправка запиту на експлуатацію до ${TARGET}${VULN_PATH}"
  curl -s -o /dev/null "${TARGET}${VULN_PATH}"
  
  echo "[+] Запит відправлено. Перевірте Splunk на наявність попередження."

• Команди для очищення:

  # Жодних стійких змін не було внесено до цільової системи.
  # За бажанням очистити запис тесту з журналу Apache, щоб зберегти базовий рівень чистим.
  
  sudo truncate -s 0 /var/log/apache2/access.log
  echo "[+] Журнал доступу Apache очищено."