ТЕХНІЧНИЙ ОПИС

Зловмисники можуть купувати або іншим чином отримувати існуючий доступ до цільової системи чи мережі. Існує безліч онлайн-сервісів та мереж брокерів початкового доступу (Initial Access Brokers), які продають доступ до раніше скомпрометованих систем. У деяких випадках групи зловмисників можуть формувати партнерства для обміну доступом до зкомпрометованих систем між собою.

Плацдарми в зкомпрометованих системах можуть мати різні форми, наприклад, доступ до встановлених бекдорів (зокрема Web Shell) або встановлений доступ через зовнішні сервіси віддаленого доступу (External Remote Services). У деяких випадках брокери доступу впроваджують у скомпрометовані системи «завантажувач» (load), який можна використовувати для встановлення додаткового шкідливого ПЗ для клієнтів, що платять.

Використовуючи існуючі мережі брокерів доступу замість розробки або отримання власних можливостей початкового доступу, зловмисник може потенційно зменшити ресурси, необхідні для закріплення в цільовій мережі, і зосередити свої зусилля на пізніших етапах компрометації. Зловмисники можуть надавати пріоритет придбанню доступу до систем, де відсутній моніторинг безпеки, або до систем з високими привілеями чи тих, що належать організаціям у конкретному секторі.

У деяких випадках купівля доступу до організацій у таких секторах, як ІТ-контракти, розробка програмного забезпечення або телекомунікації, може дозволити зловмиснику скомпрометувати додаткових жертв через довірені відносини (Trusted Relationship), перехоплення багатофакторної автентифікації (MFA Interception) або навіть компрометацію ланцюжка постачання (Supply Chain Compromise).

Примітка: хоча ця техніка відрізняється від інших дій, таких як Purchase Technical Data та Credentials, вони часто можуть використовуватися разом (особливо там, де отриманий плацдарм потребує валідних облікових записів).