초기 접속 브로커(IAB)

초기 액세스 브로커(IAB)는 악의적인 활동을 위해 시스템 및 네트워크에 대한 초기 액세스를 용이하게 하는 사이버 범죄 시장과 관련된 사이버 범죄 유형입니다. 일반적으로 공격을 시작하거나 데이터 절도, 악성 소프트웨어 배포 등 불법 활동을 수행하기 위해 원격 시스템이나 네트워크에 액세스하려는 사이버 범죄 조직 및 개인은 해당 리소스에 대한 액세스 대가로 IAB에 비용을 지불할 수 있습니다. 이를 통해 DDoS(분산 서비스 거부) 공격을 시작하고, MRE(원격 코드 실행)를 수행하고, 랜섬웨어 활동을 수행하거나 민감한 데이터에 액세스할 수 있습니다.

IAB의 활동은 종종 관련되어 있지만, IAB는 사이버 범죄 지하에서 활동하는 다른 '사이버 브로커' 또는 '사이버 클라이언트'와 혼동되어서는 안 됩니다. 'IAB(초기 액세스 브로커)'라는 용어는 클라이언트를 위한 중개자 역할을 하여 공격을 시작하는 데 필요한 리소스에 대한 액세스를 제공하는 사이버 범죄 행위자의 특정 하위 범주를 설명하는 데 가장 일반적으로 사용됩니다.

IAB는 일반적으로 자격 증명 및 취약성 판매, IP 스캐닝 및 정찰, 서비스 거부 공격, 스팸 캠페인, 랜섬웨어는 물론 기업 네트워크의 관리자 및 루트 액세스 계정에 대한 액세스를 포함한 다양한 서비스를 제공합니다. IAB는 일반적으로 사이버 범죄 시장, 포럼 또는 브로커 플랫폼 내에서 운영되며, 여기에서 액세스 자격 증명을 구매하고 서비스를 제공하거나 공격, 취약점 또는 악의적 행위자와 관련된 정보를 교환할 수 있습니다.

IAB는 제공하는 서비스 유형, 대상 가해자의 유형 및 수, 지불 방법으로 특징지어질 수 있습니다. 이들은 종종 원격 국가에 위치하며 일반적으로 익명을 유지하고 활동을 모호하게 하기 위해 수많은 익명 프록시와 뒤죽박죽된 통신 경로를 사용합니다. 사이버 보안 연구원은 일반적으로 OSINT 도구 및 기술을 사용하여 IAB를 식별하고 추적합니다.

공격을 예방하려면 IAB와 그 활동을 이해하는 것이 필수적이지만 이를 식별하고 방해하는 방법에 대한 연구는 거의 없습니다. 조직은 실제 기술과 전략을 이해함으로써 이러한 행위자에 대한 방어력을 강화하고 공격 대상이 될 가능성을 줄일 수 있습니다.