出典: Picturelibrary via Alamy Stock Photo
英国と米国の大手小売業者が、パスワードリセットに関するITヘルプデスクへの大量の問い合わせを経験している場合、Scattered Spiderのサイバー攻撃を受けている可能性を考慮する必要があります。
フランスの高級ファッションハウスのディオールは、最近数週間でサイバー攻撃の被害を受けた小売業者のリストに加わりました。このハッキングは、ハロッズ、Co-Opグループ、マークス&スペンサーの以前の侵害の後に発生しました。ディオールは5月7日に侵害され、攻撃者は中国と韓国の顧客の機密データを持ち去りました。
最近の一連のサイバー攻撃の背後にいると広く考えられているグループは、英語を話すサイバー犯罪者の緩やかな連携であるScattered Spiderと呼ばれるもので、UNC3944としても追跡されています。ITヘルプデスクに電話をかけて詐欺を働き、認証情報を引き出すことで知られるこの脅威アクター集団は、特にラスベガスのカジノMGMリゾーツとシーザーズ・エンターテインメントで2023年に大規模なハッキングを行いました。
Scattered Spiderグループのメンバーが逮捕されましたが、それでもこのグループのサイバー犯罪の野望は衰えていないようです。
現在は2025年で、小売業がScattered Spiderの注目のセクターとなっています。グループはまた、ランサムウェア・アズ・ア・サービス(RaaS)をALPHV/BlackCatからDragonForceに切り替えました。RaaSグループのメンバーはマークス&スペンサー、ハロッズ、Co-Opグループへの攻撃の責任を主張しましたが、Scattered Spiderのアクターがどのような役割を果たしたのかは不明です。
関連記事:新しいフィッシング攻撃がAESと毒されたnpmパッケージを組み合わせる
グループを追跡している研究者は、最近観察された悪意のある活動に基づいて、Scattered Spiderの敵対者が英国から米国の小売業者に明確に転換したと警告しています。5月14日、Google Threat Intelligence Groupの主任アナリストであるジョン・ハルトクイストは、Google MandiantのScattered Spiderに関する脅威情報へのリンクをXに投稿し、「米国の小売業者、警戒せよ。彼らが来ている。」という不吉なキャプションを添えました。
小売業はScattered Spiderの最新のターゲットに過ぎない
グループが狙っているのは小売業者のデータそのものではなく、名声と報酬だとハルトクイストは説明します。そして、グループは狡猾で予測不可能です。
「このアクターは、ある時点で単一のセクターに努力を集中させる歴史がありますが、侵入の途中で作戦を放棄し、完全に無関係な業界の別の被害者に焦点を切り替えることも見られています」とハルトクイストは言います。「彼らがやりたいことの一部は影響力を得ることであり、それはどの業界をターゲットにするかによってもたらされる可能性があります。」
関連記事:「Operation RoundPress」がウクライナをターゲットにしたXSSウェブメール攻撃
ディオールやハロッズのようなブランドは、家庭での名前でもあり、メディアへの影響力も最大化されると、NCCグループのシニアアドバイザー兼ディレクターのティム・ローリンズは言います。専門家はまた、小売業者が歴史的に保護されていないソフトウェア供給チェーンで運営されていることを指摘しています。
「今日見られる侵害は、何年も前から存在していた弱点から来ていることが多い」と、Huntressのオペレーションマネージャーであるドレイ・アガは言います。「新しいのは、攻撃者がそれらをより意図的に狙っているように見えることです。これらはもはやランダムな攻撃ではなく、サイバー犯罪者は脆弱で利益を得られると知っているターゲットを選んでいます。」
Huntressはまた、Scattered Spiderの攻撃者が、フィッシングと認証情報の悪用を使ってランサムウェアを展開したりデータを盗んだりしていることを観察していますと、アガは指摘します。
組織は、次にScattered Spiderの被害者になるかどうかを予測することはできないため、ソーシャルエンジニアリングに対抗するための積極的な対策を講じる必要があります。これには、電話をかけてくる人の確認、ITヘルプデスクからのパスワードリセットの除外、Microsoft Entraのセルフサービスパスワードリセット(SSRP)のようなツールの使用が含まれます。これには、多要素認証と秘密のパスフレーズが必要ですと、ローリンズは言います。彼はまた、SlackやTeamsを使ってパスワードリセットを確認することを提案しています。
関連記事:サウスダコタ州CIOのゴットゥムッカラがCISA副ディレクターに就任
「良いニュースは、通常、この脅威アクターを検出および/または阻止するための複数の機会があることです」とハルトクイストは付け加えます。「現在、この脅威アクターは主にヘルプデスクに電話をかけてパスワードをリセットしていますので、組織はユーザーに予期しないMFAプロンプトを拒否するように指示し、その活動を直ちに報告するように促すべきです。」