スキャッタード・スパイダーの実態は単一の組織ではなくサイバー犯罪コレクティブに近い構造

スキャッタード・スパイダー(Scattered Spider)は、単一の統率された脅威グループではなく、独立した複数のクラスターで構成される分散型のサイバー犯罪コレクティブとして再分類されました。

Group-IBが6月7日に公表した分析は、この活動を単一の協調的な作戦とみなす従来の見方に異議を唱えています。同社によれば、複数の攻撃者が戦術やツール、コミュニティを共有しながらも、それぞれ独立して活動しているといいます。

Group-IBは、この構造モデルが、一部のメンバーとされる人物に対する逮捕や摘発活動が行われたにもかかわらず、スキャッタード・スパイダーに起因するとされる活動が続いている理由を説明する助けになると述べています。

このグループは、セキュリティベンダーによって0ktapus、Muddled Libra、Octo Tempest、UNC3944などの名称でも追跡されており、2022年以降、いくつもの大規模なインシデントに関与してきたとされています。

スキャッタード・スパイダーの攻撃に関する関連記事: スキャッタード・スパイダーのメンバーとされる人物が米国へ身柄引き渡し

組織構造ではなく戦術によってつながるコレクティブ

Group-IBの調査は、スキャッタード・スパイダーが中央集権的な階層構造や共通の指揮系統を持って活動しているわけではないと主張しています。同社はこれを、共通の手法・ツール・オンラインコミュニティによって結びついた小規模クラスターの集合体だと表現しています。

この分析では、こうした構造をハクティビスト集団Anonymousの構造になぞらえています。Anonymousも、必ずしも直接的な連携をとらずに、共有されたアイデンティティのもとで別々のグループが活動する点が似ているとしています。

また同レポートは、これまでスキャッタード・スパイダーによるものとされてきた活動の一部が、実際には無関係な攻撃者によって実行された可能性があるとも指摘しています。

Group-IBは特に、自社が追跡する0ktapusと、マークス・アンド・スペンサー(Marks & Spencer)およびCo-opへの攻撃に関連するクラスターとを明確に区別しており、両者が同一の人物によって運営されていたことを示す証拠はないと述べています。

同社は、観測された各クラスターに共通して見られるいくつかの標的パターンを特定しました。

  • テクノロジー企業や通信企業の従業員を侵入の足がかりとして悪用

  • SIMスワップ工作の標的として携帯通信キャリアの従業員を狙う

  • 詐欺キャンペーンを通じて暗号資産(仮想通貨)ユーザーを標的にする

  • 恐喝およびランサムウェア活動のために企業を侵害

依然として作戦の中心にあるソーシャルエンジニアリング

クラスター間で違いはあるものの、Group-IBはソーシャルエンジニアリングがスキャッタード・スパイダーの活動全般に共通する要素であることを確認しました。攻撃者はしばしばIT部門やセキュリティ部門、人事部門になりすまし、従業員を騙して認証情報やアクセス権を提供させます。

調査によれば、攻撃者はOkta、Microsoft、Citrix、Googleといったアイデンティティプロバイダーを装ったフィッシングページを頻繁に使用しているとのことです。

Group-IBはまた、一部のクラスターが企業への侵害と暗号資産窃取の作戦を組み合わせているケースも確認しています。攻撃者は、盗んだ認証情報やSIMスワップ、フィッシングキャンペーンを用いて暗号資産ユーザーを標的にする一方で、潜在的な被害者に関する情報を収集するために組織への侵害も行っていました。

同レポートによると、一部のクラスターはAnyDeskなどの商用リモートアクセスツールを利用したり、不正アクセスを手助けさせるために通信会社の内部関係者をリクルートしたりしているケースもあったとのことです。

Group-IBは、スキャッタード・スパイダーが分散型の構造を持つことから、個々のメンバーを標的とした逮捕だけでは、より広範な脅威を根絶できる可能性は低いと結論づけています。

そのため各組織は、各クラスターに共通する戦術、とりわけID(アイデンティティ)を狙った攻撃やソーシャルエンジニアリングの試みへの防御に重点を置くべきだとしています。

翻訳元: https://www.infosecurity-magazine.com/news/scattered-spider-as-cybercrime/

ソース: infosecurity-magazine.com