2025年8月12日Ravie Lakshmananサイバー犯罪 / 金融セキュリティ
Salesforceの顧客を標的とした進行中のデータ恐喝キャンペーンが、ShinyHuntersとScattered Spiderの連携により、今後は金融サービスやテクノロジーサービスプロバイダーにも焦点を当てる可能性があることが新たに判明しました。
「今回のShinyHuntersによる最新の攻撃の波は、同グループがこれまで行ってきた認証情報の窃取やデータベースの悪用を超え、戦術が劇的に変化していることを示しています」とReliaQuestはThe Hacker Newsと共有したレポートで述べています。
これには、Scattered Spiderの手法を模倣した戦術の採用が含まれており、例えば高度に標的化されたビッシング(音声フィッシングとも呼ばれる)やソーシャルエンジニアリング攻撃、正規ツールを装ったアプリの利用、Oktaをテーマにしたフィッシングページを使ってビッシング中に被害者に認証情報を入力させる手口、VPNを使ったデータ流出の隠蔽などが挙げられます。
ShinyHuntersは2020年に初めて登場した金銭目的の脅威グループで、主要企業を標的とした一連のデータ侵害を主導し、RaidForumsやBreachForumsといったサイバー犯罪フォーラムでそれらを収益化してきました。興味深いことに、ShinyHuntersのペルソナはこれらのプラットフォームで貢献者および管理者として重要な役割を果たしてきました。
「ShinyHuntersのペルソナはBaphometと協力して2023年6月にBreachForums(v2)の2回目の立ち上げを行い、その後2025年6月には単独でv4を立ち上げました」とSophosは最近のレポートで述べています。「中間バージョン(v3)は2025年4月に突然消滅し、その原因は不明です。」
フォーラムの再立ち上げは短命に終わり、掲示板は6月9日頃にオフラインとなりましたが、その後この脅威アクターは世界中のSalesforceインスタンスを標的とした攻撃と関連付けられており、Googleはこれらの恐喝関連の活動クラスターをUNC6240という名称で追跡しています。
これらの動きと同時期に、ShinyHuntersを含むBreachForumsの運営に関与したとされる4人がフランスの法執行機関によって逮捕されました。しかし、この脅威アクターはDataBreaches.Netに対し、「フランスは誤った、不正確な逮捕を急いで行った」と語っており、「関係者」のメンバーが捕まった可能性を示唆しています。
そしてそれだけではありません。8月8日には、ShinyHunters、Scattered Spider、LAPSUS$を混同した新たなTelegramチャンネル「scattered lapsu$ hunters」が登場し、チャンネルのメンバーはLockBitやDragonForceに対抗するランサムウェア・アズ・ア・サービス「ShinySp1d3r」を開発中であると主張しました。3日後、このチャンネルは消滅しました。
Scattered SpiderとLAPSUS$はいずれも「The Com」と呼ばれる、より広範で曖昧な集団とつながりがあり、この集団は経験豊富な英語話者のサイバー犯罪者による悪名高いネットワークで、SIMスワッピング、恐喝、物理的犯罪など幅広い悪質な活動に関与していることで知られています。
ReliaQuestは、Salesforceを標的とした同様のキャンペーンのために作成されたとみられる、チケットをテーマにしたフィッシングドメインやSalesforceの認証情報収集ページの一連の連携を特定したと述べています。これらは様々な業界の著名企業を狙ったものです。
同社によれば、これらのドメインは通常、シングルサインオン(SSO)ログインページをホストするために使われるフィッシングキットに関連するインフラを用いて登録されており、これはScattered SpiderのOktaサインインページを偽装した攻撃の特徴です。
さらに、2025年に登録された700以上のScattered Spiderのフィッシングパターンに合致するドメインを分析した結果、金融企業を標的としたドメイン登録が2025年7月以降12%増加し、テクノロジー企業を標的としたものは5%減少していることが判明しました。これは、銀行、保険会社、金融サービスが次の標的となる可能性を示唆しています。
戦術の重複だけでなく、両グループが同時期に同じ業界(小売、保険、航空)を標的にしている事実からも、協力関係の可能性が裏付けられています。
「この説を裏付ける証拠として、過去のShinyHuntersの侵害と関連付けられた『Sp1d3rHunters』という別名のBreachForumsユーザーの登場や、ドメイン登録パターンの重複などがあります」と研究者のKimberley Bromley氏とIvan Righi氏は述べ、このアカウントは2024年5月に作成されたと付け加えています。
「これらのつながりが本物であれば、ShinyHuntersとScattered Spiderの協力や重複が1年以上続いている可能性を示唆しています。これまでの攻撃の同期したタイミングや類似した標的から、両グループの連携した取り組みの可能性が強く支持されます。」
翻訳元: https://thehackernews.com/2025/08/cybercrime-groups-shinyhunters.html