約500の疑わしいScattered Spiderフィッシングドメインが特定されており、このグループがより幅広い業界を標的に攻撃を準備していることを示しています。
Check Pointの研究者によると、これらのドメインの一部は、最近数か月間にScattered Spiderの標的となったテクノロジー、小売、航空業界を狙っているようです。
しかし、他のドメインは、製造業、医療技術、金融サービス、エンタープライズプラットフォームなど、はるかに幅広い業界の企業になりすましています。
これらのドメインはScattered Spiderの既知の命名規則に従っており、研究者によれば、同グループが現在使用中、または将来の攻撃に備えてフィッシングインフラを構築していることを示しています。
「すべてのドメインが積極的に悪意のあるものと確認されているわけではありませんが、既知の戦術、技術、手順(TTP)と一致していることから、標的化の意図が強く示唆されます」と研究者は述べています。
このグループの業界横断的な標的化は、特定の業界に固執せず、高価値の脆弱性に適応する機会主義的なアプローチを取っていることを示しています。
高度なソーシャルエンジニアリングと侵害後の戦術
Scattered Spiderは、高度なソーシャルエンジニアリング技術(ターゲットを絞ったフィッシングや電話によるなりすましなど)を用いて、サードパーティITプロバイダーの認証情報を取得します。
これは、標的組織への初期アクセスを可能にするために設計されており、タイポスクワットドメインやフィッシングフレームワークを利用して多要素認証(MFA)を回避します。
7月7日に公開された新たなCheck Pointの調査では、Scattered Spiderが侵害後に長期的なアクセスを維持するために使用するさまざまなリモートアクセスツールが明らかにされています。
これには、TeamViewer、ScreenConnect、Splashtopなどの正規ツールが含まれます。
その他、Mimikatzのような認証情報ダンピングツールなど、悪意のある目的のみに使用されるものもあります。
このグループは、Raccoon StealerやVidar Stealerなどの一般的なインフォスティーラーマルウェアを使用して被害者からデータを流出させていることも観察されています。
また、DragonForceなどのグループが提供するランサムウェア・アズ・ア・サービス(RaaS)インフラを活用し、標的に対してランサムウェア攻撃を仕掛けています。
Scattered Spiderが小売業界と航空業界の攻撃に関与
Scattered Spiderは、2025年4月末から5月初旬にかけて、Marks & Spencer(M&S)、The Co-op、Harrodsなどの著名な小売業者に対する一連のランサムウェア攻撃に関与し、多大な経済的損失と業務の混乱を引き起こしました。
6月には、FBIがこのハッカー集団が航空会社を積極的に標的にし、ランサムウェアやデータ恐喝攻撃を行っていると警告しました。
ここ数週間で、カナダのWestJet Airlines、米国のHawaiian Airlines、オーストラリアのQantasなど、複数の大手航空会社がサイバーインシデントを報告しています。これらの攻撃の犯人はまだ特定されていません。
Qantasは、7月7日の最新情報で、この事件に関連して「潜在的なサイバー犯罪者」から連絡を受けたことを明らかにしており、大量の顧客データが漏洩したとしています。
今すぐ読む:WestJetからQantasまで―大手航空会社を脅かすサイバー脅威の増加
Scattered Spiderの戦術に対抗する方法
Check Pointは、すべての組織がScattered Spiderの攻撃から防御するためのさまざまな推奨事項を提示しています:
- ドメイン登録を継続的にスキャンし、Scattered Spiderのパターンに一致する疑わしいドメインをブロックする
- MFAの悪用やビッシング(音声フィッシング)に焦点を当てたシミュレーションや啓発トレーニングを実施する
- 行動異常検知機能を備えたスマートMFAソリューションを導入する
- 組織全体で堅牢なエンドポイント検知・対応を確保する
- 特にコールセンターなどのサードパーティサービスプロバイダーについて、アクセス制御やセキュリティ成熟度を監査する
- パスワードリセットやMFA関連のサポート依頼には多層的な認証を要求する
翻訳元: https://www.infosecurity-magazine.com/news/scattered-spider-phishing-domains/