CYBER THREAT INTELLIGENCE BLOG

IntelBroker b

IntelBroker Unmasked: KELA’s In-Depth Analysis of a Cybercrime Leader

In the ever-evolving world of cybercrime, IntelBroker has emerged as one of its most prominent figures. Known for his high-profile breaches, IntelBroker’s actions have shaken both corporations and government entities alike. At KELA, our deep dive into his online presence has revealed valuable insights, with OSINT traces playing a pivotal role in uncovering his connections. This blog provides a detailed summary of our findings, highlighting the critical intelligence available in KELA’s comprehensive threat actor profile.
v4_Infostealers Under the Spotlight 2400x1240

注目を集める情報窃取マルウェア:情報窃取マルウェアとは? 我々が理解しておくべき理由とは?

情報窃取マルウェアは、感染先のデバイスから機密情報を窃取するよう設計されたマルウェアであり、感染した端末はボットと呼ばれることもあります。情報窃取マルウェアは情報を窃取するとログ(窃取した情報のレコード)を作成し、攻撃者はそれらのログを回収して販売することによって金銭化したり、ランサムウェア攻撃のように直接的な攻撃を実行する際の初期アクセスとして利用します。情報窃取マルウェアの具体例としては、RedLine Stealer、Raccoon Stealer、Vidar、Meta Stealer、Lumma、Stealc、RiseProなどが挙げられます。 それでは、情報窃取マルウェアはどのようにデバイスに感染し、どのような情報を窃取するのでしょうか?そして窃取された情報は、どのように皆さんの組織のセキュリティ侵害に悪用されるのでしょうか?今回のブログでは、それらの質問に回答していきます。
tel

嵐から3カ月後:サイバー犯罪者はTelegramから他のプラットフォームへ移行したのか?

2024年9月にTelegramが運営方針を変更したことにより、サイバー犯罪者は同プラットフォームで活動を継続できるか否かについて議論するようになりました。Telegramはプライバシーを最も重視するという方針を変え、テロ事件をはじめとする様々な犯罪捜査の要請に応じてユーザーの電話番号やIPアドレスを法執行機関と共有し、当局の調査に協力することを宣言しました。こうした状況やユーザーからの激しい反応を考慮すると、犯罪者は活動を継続するために他のプラットフォームを探し、Telegramは「サイバー犯罪者がまっさきに頼りにするプラットフォーム」としての地位を失うことになるかと思われました。しかし、方針変更から3か月が過ぎたTelegramでは、実際にはどのような変化があったのでしょうか?

脅威インテリジェンスアナリストの役割

侵害の兆候 (IoC) や脅威インテリジェンスのフィードから、本格的な調査・脅威研究を実行するチームの構築にいたるまで、 サイバー脅威インテリジェンス(CTI)は組織の様々な側面で重要な役割を果たしています。そして、脅威インテリジェンスアナリストはCTIチームが十分な情報に基づいて意思決定を行ったり、組織のセキュリティ体制を効果的に強化・改善する際に活用できる実用的な知見を提供しています。 脅威インテリジェンスアナリストがいない組織の場合、能動的な方法でインシデントを阻止ために必要な情報が得られず、問題が起こるたび事後対応に追われるという事態が多々発生します。しかし、実用的なインテリジェンスを導入することで、サイバー攻撃に対するレジリエンシーをより簡単に強化することが可能となるのです。
DarkRaaS and CornDB: Evidence of a Coordinated Network

DarkRaaSとCornDBが同じネットワーク組織であることを裏付ける証拠とは?

DarkRaaSとCornDBが同じネットワーク組織であることを裏付ける証拠とは? 2024 年 10 月から11 月にかけて、サイバー犯罪フォーラム「BreachForums」に脅威アクター「DarkRaaS」 と 「CornDB」 が登場しました。両アクターの活動や標的、手法には驚くべき類似点が見られることから、KELAはこの2人の活動と、両者のつながりを示唆する証拠について調査しました。
OWASP Top 10 for LLMs_ protecting GenAI with AiFort 2400x1240

OWASP大規模言語モデル・アプリケーションのリスクトップ10:AiFortで生成AIを保護

過去1年の間、業務の効率化やユーザーエクスペリエンスの向上を目的に、多数の組織が競ってAIを導入しました。そしてAIが業務プロセスの中核に統合されるにつれ、大規模言語モデル(LLM)固有の問題とも言える新たな攻撃ベクトルや脆弱性が出現しました。LLMの主要なインターフェイスとなる人間の言語は、一般のユーザーが意図せず誤用してしまう事例が発生しやすく、またサイバー犯罪者にとっても簡単に悪用できるため、リスクが広範な領域に及んでいます。
cti for company

組織がサイバー脅威インテリジェンスを導入すべき8つの理由

サイバー攻撃がますます巧妙化すると同時にその件数も増加の一途をたどる状況を背景に、ハーバードビジネスレビューは脅威情報を十分に活用した防御の必要性を説き、「増大するリスクから自組織を保護するためには、起こりうる脅威に対してどのように対応するかについて、より高い透明性、正確性、精度が必要である」と主張しています。 そしてKELAは、脅威や脅威アクターに関する背景情報を取り入れた100%実用的なインテリジェンスをタイムリーに提供し、組織の皆様がデジタルリスクを緩和できるよう支援しています。しかし、実際のビジネス環境ではサイバー脅威インテリジェンス(CTI)を導入することでどのようなメリットを享受したり、どのようにリスクの軽減につなげることができるのでしょうか。今回のブログでは8 つの重要なトピックを取りあげ、サイバー脅威インテリジェンスが組織にもたらす価値について解説します。
NIS2 compliance CTI

Streamlining NIS2 Compliance with Cyber Threat Intelligence

NIS, or the Network Information Systems Directive, is getting an update this year, and by the 17th of October 2024, organizations in member states in the EU will need to be fully compliant with its second iteration, NIS2. The stakes are high, as for the first time, NIS2 introduces personal liability for companies who fail to comply with the requirements. Fines are distinguished by whether a business is considered an essential or an important entity, and could reach as much as €10M or 2% of global annual revenue, whichever is higher.  

Telegram’s Policy Shift: How Cybercriminals Are Reacting to New Data Sharing Rules

Telegram recently made waves by updating its privacy policy, marking a significant departure from its long-standing reputation as a haven for privacy-focused users, including cybercriminals. The messaging platform, known for its hands-off moderation approach, will now share users’ phone numbers and IP addresses with law enforcement following court orders. This change applies to various criminal investigations, expanding beyond the previous limit of only terror-related offenses. You can read the full details of the new policy on Telegram’s Privacy Policy page.
Durov arrested cybercrime world in turmoil

当局がTelegram CEO兼創設者のドゥロフ氏を逮捕、サイバー犯罪者の反応はいかに

2024年8月25日、Telegram のCEO兼創設者であるパヴェル・ドゥロフ(Pavel Durov)氏がパリで逮捕されました。逮捕の容疑はTelegramが違法行為に使用されたこととされており、この逮捕の3日後、同氏はTelegramでの違法行為に関する6つの容疑で起訴されたものの、保釈されました。世界中の人々がTelegramのモデレーション(コンテンツ規制)のゆるさについて議論し、プラットフォーム側がユーザーの犯罪行為に責任を負わされる事態に疑問を呈する声も上がりました。その一方で、Telegramを利用するサイバー犯罪者にもそれぞれの意見があるようです。  KELAがこれまでに公開したブログやレポートでも取りあげてきたとおり、近年Telegramは様々なサイバー犯罪のプラットフォームとして人気を博しています。具体的には、不正に入手したデータ(個人情報や機密文書、侵害されたアカウント情報など)の売買、情報窃取マルウェアやランサムウェア、ハクティビストなどのオペレーションでの利用が挙げられます。Telegramがサイバー犯罪者にとって魅力的なポイントとして、匿名性を確保できることと、コミュニティを構築する機能があることが挙げられます。そしてこの2つを活用することによって、サイバー犯罪者は法執行機関による身元特定を回避することができ、またサイバー犯罪商品の取引相手を多数獲得することができます。 そして今、彼らはドゥロフ氏の逮捕が自分達の活動にどのような影響を及ぼすのかを懸念しています。サイバー犯罪者の中には捜査の可能性を懸念し、新たな安全策を講じるべく議論している者がいる一方で、ドゥロフ氏を支持するべくフランスにサイバー攻撃を仕掛け、攻勢に回る者もいました。今回KELAは、ドゥロフ氏の逮捕を取り巻くサイバー犯罪者の議論と活動を調査しました。