悪名と金銭欲に燃えるアンダーグラウンドで、人々に苦しみの痕跡を残しながら、Scattered Spider(スキャッタード・スパイダー)として知られる自由な集団は、サイバー犯罪の多くの常識から逸脱しています。
若く、英語を母国語とする人々で構成されたこの巧妙な脅威グループは、結束力に欠け、内部抗争が絶えず、多くの金銭目的のサイバー犯罪者が被害者への犯行声明や恐喝圧力を高めるために利用するデータリークサイトも持っていません。
Scattered Spiderが好む侵入手法はソーシャルエンジニアリングとフィッシングであり、これにより多くの脅威ハンターが攻撃をこの集団に自信を持って帰属させることが困難になっています。このサイバー犯罪組織は、研究者が通常追跡するような痕跡を残さず、その結果、Scattered Spiderが何者で、どのようにターゲットを決め、どの企業を攻撃したのかについて、業界全体で大きな食い違いや不確実性が生まれています。
Scattered Spiderはサイバー犯罪の中で地位を高めており、最近ではイギリスのMarks & Spencer、United Natural Foods、WestJet、Hawaiian Airlinesへの攻撃が疑われています。研究者たちは組織の手がかりや運用方法の解明を進めています。
昨年夏からの短い活動休止を経て、Scattered Spiderは今年初めに再結集し、小売、保険、航空業界の数十社を攻撃しました。同グループは2023年のMGMリゾーツおよびシーザーズ・エンターテインメントへの攻撃で悪名を高めました。
研究者によると、Scattered Spiderは2022年以降、ホスピタリティやゲーム、製造、テクノロジーやクラウドサービス、通信、小売、製造、食品生産、保険と金融サービス、メディア、アパレル、ビジネスプロセスアウトソーシング、医療、運輸、航空など、100社以上の企業に侵入しています。
同グループの恐喝による総収益は6,600万ドルを超えるとサイバーセキュリティ企業HalcyonはCyberScoopに語っていますが、実際にはさらに多くを得ている可能性があります。「私のクライアントの中には、彼らに8桁(1,000万ドル以上)を支払った例もあります」と、同グループをUNC3944として追跡するMandiant Consultingの最高技術責任者チャールズ・カーマカル氏は述べています。
Scattered Spiderは必ずしもデータやシステムを暗号化するわけではありませんが、暗号化を行う場合はAkira、AlphV、Play、Qilin、RansomHub、そして最近ではDragonForceなど、複数のランサムウェアを使用していると研究者は述べています。
Halcyonのランサムウェア研究センター上級副社長であるシンシア・カイザー氏は、Scattered Spiderを「分散型だが緊密に連携したグループ」と表現し、明確な役割分担があると説明します。これには、プロジェクトマネージャーとして機能する2~4人のシニアオペレーターやリーダーの少数精鋭チームが含まれ、初期アクセスブローカー、ランサムウェアのアフィリエイト、交渉担当者と連携しています。
「一方で、新参者やジュニアアフィリエイトがいて、彼らは自分を証明するため、検知の閾値を試すような下位レベルのオペレーションを行っています」と、カイザー氏(元FBIサイバー政策・情報・対外連携部門副部長)は述べています。
この階層構造のため、Scattered Spiderに関与している人数について研究者の間で意見が分かれます。インナーサークルは少数精鋭で、その後に数十人、さらに多くの人々が出入りしながらオペレーションを支援していると、インシデントレスポンスの専門家はCyberScoopに語っています。
Scattered Spiderは、The Comという、1,000人以上が参加する大規模な草の根ネットワークの分派であり、ソーシャルエンジニアリング、暗号資産の窃盗、フィッシング、SIMスワッピング、恐喝、性的恐喝、スワッティング、誘拐、殺人など、膨大な犯罪記録を持っています。
Scattered Spiderの復活後の攻撃の規模や激しさは異例に見えるかもしれませんが、同グループの活動ペースは過去数年の方がはるかに高かったとカーマカル氏は述べています。
Scattered Spiderの被害者の多くは長年にわたり攻撃を公表していますが、正式にこのサイバー犯罪集団によるものと認定されたことはありませんでした。
「このグループに今まで以上に注目が集まっていることが再び注目すべき点です」とカーマカル氏は語ります。「今は彼らについて話題になり、人々が関心を持つのは、彼らのサイバー攻撃による現実的な影響を目の当たりにしたからです。それが違いです。」
もう一つの変化はグループの戦術に関するものです。2022年と2023年の初期の攻撃はソーシャルエンジニアリングによるものでしたが、2024年の大半はドメインベースのフィッシングに移行し、昨年夏に活動が休止しました。今年の復活では、再びソーシャルエンジニアリングを初期アクセス手段として専ら利用するという、戦術の原点回帰が見られます。
「3月になると、彼らはフィッシングページをすべて放棄し、それまで使っていたプレイブックをすべて捨てて、元々のプレイブックに戻りました」とSilent Pushの脅威研究者ザック・エドワーズ氏は述べています。
Scattered Spiderは、ここ数ヶ月間、主にヘルプデスクの従業員をソーシャルエンジニアリングで騙して企業ネットワークに侵入しています。これには、パスワードリセットの依頼、多要素認証から電話番号を削除して新しいデバイスを登録する、またはアカウントに電話番号を追加してセルフサービスのパスワードリセットを実行するなどが含まれます。
「Scattered Spiderがヘルプデスクに電話をかけて担当者と話し始めると、タイマーが動き出します。ヘルプデスクは自分たちの指標を達成するために、そのチケットを一定時間内にクローズしなければなりません」とCrowdStrikeの対抗アドバーサリーオペレーション担当上級副社長アダム・マイヤーズ氏は述べています。
「彼らは、ヘルプデスクが与えられた基準だけで本人確認を行っているという事実を利用しています」と彼は言います。
Sophos Counter Threat Unitの脅威研究ディレクター、クリス・ユール氏によると、これらの電話攻撃者はあまり努力せずとも非常に成功しています。「場合によっては、いや多くの場合、ほとんど抵抗や反発を受けていません。」
脅威研究者の間では、Scattered Spiderが意図的に特定の業界を狙ってから新たな分野に移行しているのか、それとも単に特定の業界に顧客が多いヘルプデスクアウトソーシング企業を狙っているだけなのか、議論があります。
Halcyonの研究者によると、最近の英国小売業者や米国拠点の保険会社への攻撃は、少なくとも一部はScattered Spiderによるビジネスプロセスアウトソーシングプロバイダーの侵害に起因している可能性があります。
カーマカル氏は、Scattered Spiderが特にアウトソースされたITヘルプデスクを体系的に狙っているとは考えておらず、特定のヘルプデスクプロバイダーが侵害の原因だと結論付けることに警鐘を鳴らしています。
Mandiant、帰属パターンを定義
多くのScattered Spider被害者にインシデント対応サービスを提供してきたMandiantは、特定業界への攻撃パターンや米国小売業者へのシフト、最近では保険業界や北米の航空会社への攻撃など、繰り返し早期警告を発しています。これらの警告は、数日から数週間後にその業界で攻撃が明るみに出ることで裏付けられています。
MandiantがScattered Spiderが特定の分野を狙っていると発表する場合、調査の観点からは攻撃が同じ攻撃者のプレイブックに従っています。「彼らがどのように認証情報へアクセスしているか、認証情報を得た直後に何をしているか、ドメインコントローラー上で認証情報をどのように独自に使っているか、使用しているツール、インフラの再利用などです」とカーマカル氏は述べています。
「彼らが今後数日から数週間で何をするかを予測できる多くのパターンがありますが、そのパターンや予測可能性はいつでも変わる可能性があります。彼らは非常に有能なグループです」と彼は続けます。「私はインシデント全体の中にパターンを見ています。ソーシャルエンジニアリングや電話だけのパターンでは不十分です。」
Scattered Spiderだけがソーシャルエンジニアリングを使ったり、同グループが狙うとされる業界を攻撃しているサイバー犯罪組織ではありません。しかし、Scattered Spiderはしばしば根拠のない形で自分たちの関与範囲を超えた活動の手柄を与えられています。
他にも、UNC6040のようなThe Comに関連する脅威グループが、同じ業界の企業をソーシャルエンジニアリングで攻撃しています。Google Threat Intelligence Groupは、先月時点で少なくとも20件の侵入をUNC6040に帰属させています。
「ヘルプデスクへのソーシャルエンジニアリングを伴う活動はScattered Spiderのように見えるかもしれませんが、業界の一部では帰属を早まって結論付けている」とカーマカル氏は述べています。
破壊の網は風に漂う
Scattered Spiderの破壊の網は依然として広がり続けており、その手法やクラウドやIDを狙う専門性があらゆる業界で通用するため、被害者が増え続けています。
「彼らはセキュリティチェーンの中で最も弱い部分、つまり人間を狙っています」とマイヤーズ氏は述べます。「彼らは非常に素早く、一度アクセスを得ると、暗号化を実行される前に彼らをインフラから排除するまでの猶予は48時間、場合によっては24時間もありません。スピードこそが脅威です。」
「誰かが彼らを止めない限り、彼らは今やっていることを続けるでしょう」と彼は付け加えます。「やめる理由がありません。」
エドワーズ氏は、ソーシャルエンジニアリング攻撃は電話の時代から成功してきたと指摘します。「声による確認はセキュリティを回避する素晴らしい方法です。使うべきキーフレーズやスラング、業界用語を知っていれば、それは信頼の声となります」と彼は述べます。
「電話をかけて、言うべきことを知っていて、相手が何を聞くかも分かっていて、答えも用意していれば、非常に効果的に相手の信頼を得て、普段ならしないことをさせることができるのです」とエドワーズ氏は付け加えます。
翻訳元: https://cyberscoop.com/scattered-spider-social-engineering-cybercrime/