The Comに関連した2つの執拗で厄介な脅威グループが、複数の重要インフラセクター全体の組織を対象に、迅速なデータ窃盗と恐喝攻撃を積極的に実行しているとCrowdStrikeは述べています。
CrowdStrikeが追跡している金銭目的の攻撃者グループ「Cordial Spider」と「Snarky Spider」は、2025年10月以降、ボイスフィッシングとソーシャルエンジニアリング攻撃を使用して被害者のアイデンティティプラットフォームに侵入し、SaaS環境を移動してきたとのことです。同社は木曜日にレポートを発表し、リリース前にCyberScoopと独占的に共有しました。
CrowdStrikeのカウンター敵対作戦シニアバイスプレジデントであるAdam Meyersは、英語が母語の部分グループが、学術、航空、小売、ホテル、自動車、金融サービス、法律、技術セクターの米国ベースの組織を主に標的にしていると述べました。
この「新世代の電子犯罪脅威アクター」はScattered Spiderと密接に連携しており、SLSHやShinyHuntersを含むThe Comの他のサブセットにも関連しているとMeyersは述べました。
これらの攻撃はアイデンティティシステムを標的とし、初期侵害ポイント以外の他の接続サービスのデータも露出する可能性があるため、これらのキャンペーンに巻き込まれた被害者の数を特定することは困難です。
CrowdStrikeの警告は、Palo Alto NetworksのUnit 42と小売・ホテル業情報共有分析センター(Retail & Hospitality Information Sharing and Analysis Center)が先週共有した、Cordial Spiderによる小売・ホテル業を含む複数の産業への一連の攻撃に関する調査に密接に続いています。
CordialおよびSnarky Spiderは、音声通話、テキストメッセージ、メールを通じてルアーを設定し、従業員を雇用主の正規のシングルサインオンページまたはプライマリアイデンティティプロバイダーになりすましたフィッシングページへ誘導していると研究者は述べています。
認証情報、セッションキー、またはトークン(ワークフローによって異なる)をキャプチャするこれらのフィッシングページは、攻撃者がシステムへのエントリーポイントを提供し、被害者のSaaS全体にわたって広範なアクセスを利用するために悪用されます。
攻撃者はこれらの初期の足がかりを利用して多要素認証デバイスを削除・確立し、その後、潜在的な悪意のあるアクティビティを警告する可能性のあるメールおよび他のアラートを削除すると研究者は述べています。
データ窃盗恐喝キャンペーンは顕著な類似点を共有していますが、CrowdStrikeは各サブグループの戦術、技術、および手順は異なると述べています。これらの相違には、営業時間、異なるフィッシングドメインプロバイダー、推奨オペレーティングシステム、データリークサイト、および多要素認証に登録するために使用するツールまたはデバイスが含まれます。
Cordial SpiderのデータリークサイトであるBlackFileのドメインは、水曜日の時点でオフラインでした。Meyersによると。
CrowdStrikeは当グループの恐喝要求に範囲を付けることを拒否していますが、Unit 42は以前、Cordial Spiderは別名CL-CRI-1116およびUNC6671で、通常は7桁の範囲だと述べています。
恐喝要求に応じなかったいくつかの被害者はDDoS攻撃の対象となっており、Snarky Spiderはより積極的なフォローアップ嫌がらせ戦術を使用しており、被害者組織の従業員への襲撃を含むとMeyersは述べています。
CrowdStrikeはCordialおよびSnarky Spiderが、IP基準の検出を回避し、通常のトラフィックに溶け込むために、Mullvad、Oxylabs、NetNut、9Proxy、Infatica、NSSOCKSを含む住宅用プロキシネットワークも使用していると述べています。
実際のホームユーザーに割り当てられたIPアドレスに依存する住宅用プロキシネットワークは正当な目的を果たす可能性がありますが、研究者は非倫理的またはあからさまな犯罪オペレーターがこれらのネットワークを悪用してボットネット、サイバー犯罪キャンペーン、スパイ活動およびその他の悪意のあるアクティビティを構築・支援していることを警告しています。
CordialおよびSnarky Spiderはscattered Spiderの影響や技術的能力を達成していませんが、グループは多くの共通点と目標を共有していると Meyersは述べています。
「彼らは一種のプレイブックを採用し、彼らの多くの技術を使用していますが、私たちが本当に見たScattered Spiderから示されたような技術的な洗練さを本当に見ていません。」彼は述べています。「それは一種の新世代のScattered Spiderです。」
翻訳元: https://cyberscoop.com/crowdstrike-cordial-spider-snarky-spider-extortion-attacks/
