出典:Frame Stock Footage(Shutterstock経由)
Google、ルイ・ヴィトン、アリアンツを含む複数の大手企業に影響を与えた最近の攻撃の分析から、これまで明確に異なる手口や動機を持っていた2つのハッカー集団、ShinyHuntersとScattered Spiderの間で新たな協力関係が生まれている可能性が示唆されています。
この発見は、攻撃のタイミング、共通のインフラ、そして最近数カ月間の標的の重複というパターンに基づいています。これは、ShinyHuntersの大規模なデータ窃取の巧みさと、Scattered Spiderの高圧的なソーシャルエンジニアリングの技術を融合させた協調戦略を示しています。
危険なサイバー犯罪グループの協力関係?
ReliaQuestの研究者によれば、この重複を発見したことで、両グループによる今後のキャンペーンは検知や阻止がより困難になる可能性があるとのことです。「脅威グループが協力すると、防御側にとってはさまざまな面で複雑になります」とReliaQuestの脅威調査ディレクター、Brandon Tirado氏はDark Readingの取材で語っています。「彼らの戦術や手順が重なり始め、特定のグループに攻撃を追跡するのが難しくなります。以前は一つのグループ特有だった侵害指標(IoC)が、突然別のグループの活動にも現れるようになるのです。」
その結果は?特定のグループにIoCを結びつける従来の戦略は、もはや十分に機能しません。代わりに、防御側は行動パターンや、ブランドを模倣するドメインの監視、SaaSアプリケーションの強化、従業員へのボイスフィッシング認識トレーニングなど、積極的な検知策に注力する必要があります。「属性よりもTTP(戦術・技術・手順)を優先することで、組織はこれらの脅威により適応できるようになります」とTirado氏は述べています。
ShinyHuntersは、大規模組織からデータを盗み、それをアンダーグラウンドマーケットで現金化することで知られる、自己宣伝型で金銭目的の脅威グループです。一部では、実際には複数の脅威アクターによる集団だと考えられています。2020年に登場し、漏洩または盗まれた認証情報を使って被害者の環境にアクセスし、データを窃取する傾向があります。被害者にはAT&T、サンタンデール、チケットマスターなど複数のグローバルブランドが含まれ、最近ではGoogle、アリアンツ、アディダス、エールフランス、ルイ・ヴィトンなども標的となりました。
Scattered Spiderは、2022年にサイバー犯罪の世界に登場したグループで、一部の研究者は現在活動中の中で最も危険な金銭目的のハッカー集団の一つと見なしています。Scattered Spiderの傘下で活動する多くは、19歳から22歳の英語ネイティブの若者で、サイバー犯罪で金儲けをするという共通の目的を持っていると考えられています。脅威クラスターを追跡するセキュリティベンダーや研究者は、Scattered Spiderのメンバーがフィッシング、ビッシング(音声フィッシング)、その他のソーシャルエンジニアリング詐欺に非常に長けていると評しています。多くのキャンペーンで、Scattered SpiderのオペレーターはITやヘルプデスクのスタッフを装い、従業員を騙して認証情報を入手しています。また、信頼されている企業のドメイン(例:Okta)を偽装してフィッシング攻撃を実施したこともあります。同グループは、2023年のシーザーズ・パレスおよびMGMリゾーツへの攻撃の首謀者としても知られており、これによりカジノは数百万ドルの損失を被りました。
サイバー脅威グループの類似性の増大
ReliaQuestによると、ShinyHuntersが最近の攻撃で用いた戦術は、ますますScattered Spiderのものに似てきています。例えば、従来の認証情報の悪用から転換し、ShinyHuntersのメンバーは非常に標的を絞ったビッシング(詐欺電話や音声メッセージ)を使って、個人からパスワードやその他の機密データを引き出しています。Scattered Spiderと同様に、ShinyHuntersのアクターも正規のソフトウェアやプラットフォームを装ったアプリを使用しており、SalesforceやOktaを模したフィッシングページ、プライバシー重視のVPNサービスであるMullvadを用いたVPN偽装などがその例です。
ReliaQuestは、ShinyHuntersとScattered Spiderの戦術の新たな類似点が偶然ではないことを示唆する複数の証拠を発見したと述べています。
最近の攻撃では、ShinyHuntersがScattered Spiderのパターン(例:SSO-company[.]com)に似たドメイン形式を使い始めました。ShinyHuntersの標的となったドメインも同様の形式で、ticket-lvmh[.]com、ticket-dior[.]com、ticket-louisvuitton[.]comなどが確認されています。
共通する技術的インフラの特徴に加え、ReliaQuestは、ドメイン登録に関する共通点も発見しました。例えば、Scattered Spiderがキャンペーンで利用してきた日本のインターネットサービス企業「GMOインターネット」を通じたドメイン登録などです。
ReliaQuestはまた、両グループによる被害者のクロスターゲティングや、標的の同期的なパターンも確認しました。今年の4月と5月、Scattered Spiderがマークス&スペンサーやハロッズなどの小売大手を標的にしていた時期、ShinyHuntersは同じ業界のティファニー、ディオール、アディダスなどを狙っていました。6月にScattered Spiderがアフラックやフィラデルフィア保険会社など保険業界に標的を移した際、ShinyHuntersもすぐにアリアンツへの攻撃で追随しました。ReliaQuestによれば、ShinyHuntersはこれまで一度に1つの標的に集中する傾向があったため、このような同期的な攻撃は注目に値します。
ダークウェブフォーラムでの直接的な主張
両グループが協力しているという説をさらに裏付けるものとして、Telegramなどのフォーラムで「Sp1d3rhunters」というエイリアスを使う脅威アクターによる直接的な主張も確認されています。
Tirado氏は、これら2つの脅威グループが協力することには明確な利点があると述べています。「ShinyHuntersは認証情報の窃取、恐喝キャンペーンの実行、データのリーク、メディアの注目を集めることに長けています」と彼は言います。「一方、Scattered Spiderはボイスフィッシングやドメイン偽装に非常に熟練しており、初期アクセスの獲得やソーシャルエンジニアリング攻撃の実行に役立っています。」
協力することで、両者はそれぞれの強みを組み合わせ、より効果的かつ効率的なキャンペーンを展開できるようになり、最終的には影響力と有効性が高まるとTirado氏は指摘します。「その結果、特定のグループにIoCを結びつける従来の戦略は、あまり効果的ではなくなっています。」
翻訳元: https://www.darkreading.com/cyberattacks-data-breaches/shinyhunters-tactics-mirror-scattered-spider