Jonathan Kellerman, Alamy
2024年の法執行活動は散在スパイダーを撲滅するはずでした。しかし、悪名高いサイバー犯罪グループは今年再び現れ、一部の情報セキュリティ専門家を警戒させる方向に進んでいます。
昨年、散在スパイダーの数名のメンバーが逮捕され、グループのリーダーとされる人物も含まれていましたが、これにより悪意のある活動が一時的に減少した可能性があります。しかし、散在スパイダーの注目を集める攻撃は今年も続いており、グループはロシアのランサムウェアエコシステムにさらに深く関与しているようです。
散在スパイダーは、UNC3944やオクトテンペストとしても知られ、2022年に初めて登場し、主に英語を母国語とする個人で構成されています。この特徴により、東ヨーロッパに拠点を置き、ロシア語を話すアクターを含む他の悪名高いサイバー犯罪組織とは一線を画しています。
また、散在スパイダーは、SIMスワッピングやフィッシング、ビッシング攻撃などの巧妙なソーシャルエンジニアリングスキームに長けていることでも強力です。2023年には、ラスベガスのカジノ大手MGMリゾーツとシーザーズ・エンターテインメントに対する二つの注目を集めるサイバー攻撃で悪名を高めました。
この二つの攻撃は、「高度持続的ティーンエイジャー」のグループがALPHV/BlackCatランサムウェア・アズ・ア・サービス(RaaS)グループが提供するバリアントを使用して本格的なランサムウェア攻撃に移行したため、注目されました。また、Check Point SoftwareのCyberintが最近のレポートで指摘したように、RaaSギャングは以前、ロシア語を話すアフィリエイトとしか協力しないと宣言していました。
関連:CISA: ロシアのファンシーベアが物流、IT企業を標的に
散在スパイダーは、かつては多産だったが現在は廃止されたRansomHubグループとも関連付けられています。最近では、サイバー犯罪集団はRansomHubの運営を引き継いだとされる新興のDragonForce RaaSオペレーションと提携し、ランサムウェアエコシステムにさらに深く関与しています。
ロシアのサイバー犯罪シーンとの関係の深化は、脅威アナリストの間で懸念を引き起こし、グループの構成やそれに影響を与えている可能性のある個人についての疑問を投げかけています。
新しい姿の散在スパイダー
最近の英国の小売業者3社(Marks & Spencer、Harrods、Co-Op Group)へのサイバー攻撃は、散在スパイダーにとって目覚めの呼びかけとなりました。DragonForceが攻撃の責任を主張しましたが、いくつかの報道機関は、法執行機関が散在スパイダーのメンバーが関与していると疑っていると報じています。
Cyberintのレポートでは、グループのメンバーが英国の小売業者への初期段階の侵入に関与していた可能性が「ますます高くなっている」と指摘し、散在スパイダーのメンバーが米国の小売組織も標的にしていると警告しています。「クラウドファースト、アイデンティティ中心の侵入方法で知られる散在スパイダーは、DragonForceアフィリエイトモデル内でのアクセスブローカーまたは協力者として浮上している」と、Check Point Software Technologiesの外部リスク管理のセキュリティ研究者Adi Bleihは書いています。
関連:SideWinder APTがインドの隣国政府をスパイ
BleihはDark Readingに対し、散在スパイダーがロシア語を話すランサムウェアグループと引き続き連携していると述べています。「この移行は、ランサムウェアの能力を活用するためにロシア語を話すエンティティと協力するという継続的な戦略を示しています」と彼は言います。
特にDragonForceとのランサムウェアギャングとの深い協力は懸念されると、Silent Pushのシニア脅威研究者Zach Edwardsは述べています。散在スパイダーのアクターは以前、市販のマルウェア、例えばVidarやRaccoonの情報スティーラーを使用しており、ある程度のカスタマイズが施されていました。
しかし、そのような公に入手可能なツールを使用することは、脅威アクターにとってリスクを伴います。なぜなら、それがカスタムビルドのマルウェアほど効果的でない可能性があり、注目を集める侵入での検出の可能性を高める可能性があるからです。しかし、DragonForceは、メンバーが独自のバイナリをコンパイルし、攻撃をサポートするための専用ツールとインフラストラクチャを活用できるカスタマイズ可能なアフィリエイトモデルを提供しています。
関連:Ivanti EPMMの悪用が以前のゼロデイ攻撃に関連
これにより、Edwardsは、散在スパイダーが今年「トリプルA」レベルのツールと戦術に移行したことを示しており、グループをより危険にしています。
「彼らがはるかに本格的なランサムウェアグループと提携し、公開されていないマルウェアにアクセスできるようになった今、それは多くの人が望んでいなかった進化です」と彼は言います。「しかし、それが実際に起こっているようです。」
また、主要なランサムウェアオペレーションが、特に法執行活動が増加している中で、英語を母国語とするアフィリエイトハッカーと協力する理由についても疑問が生じます。
散在スパイダー内のロシアの影響?
セキュリティ研究者たちは、通常はロシア語を話す個人を好む秘密主義のランサムウェアオペレーターが、なぜ緩やかに関連付けられたハッカーグループのメンバーと密接に協力するのかについて、さまざまな理論を持っています。このグループ自体は、主に若い米国と英国の市民からなる「The Com」という大きな集団の一部です。
Bleihは、ロシア語を話すランサムウェアグループとの密接な協力が三つの可能性を示していると言います:それは単純なアフィリエイトパートナーシップであるか、グループが何らかの共有運営インフラを持っているか、または「グループ間の境界が曖昧になっている可能性があり、多言語の仲介者が関与している」かです。
「TelegramやDiscordのようなプラットフォームの使用、そして恐喝コミュニケーション中の流暢な英語の使用は、主に西洋に拠点を置くグループを指していますが、今日の相互接続されたサイバー犯罪エコシステムの性質—特にダークウェブフォーラムでは—脅威アクターが必要に応じてロシア語や他の言語を話す協力者を容易に募集できることを可能にしています」とBleihは言います。
Edwardsは、散在スパイダーのランサムウェア同盟に関する謎は、情報セキュリティコミュニティにとってより大きな問題を示していると言います—散在スパイダーがどのように運営されているのか、実際にグループとして機能しているのか、そして新しいメンバーをどのように募集しているのかについての認識の欠如です。既存のメンバーは通常、他のサイバー犯罪グループのように公共のTelegramチャットで作戦や機密事項を議論しないため、可視性は限られています。
さらに、Edwardsは、2024年に逮捕されたとされるメンバー、特にリーダーとされるTyler Buchananを含むにもかかわらず、米国と英国の他の新興サイバー犯罪者が散在スパイダーに参加したがっているようだと述べています。しかし、DragonForceとのアフィリエイト同盟は、散在スパイダーとThe Comの両方に他の年上の個人がいる可能性を示唆しています。
「The Comは主に13歳から25歳の若者で構成されていますが、常に30代や40代の年上の人々が指揮者であるという噂がありました」とEdwardsは言います。「このグループには、西洋のつながりを持たない、英語を話す個人であるが、ロシアのサイバー犯罪地下組織とつながりを持つ可能性のある年上の人々がいる可能性があります。」
散在スパイダーがロシア語を話すランサムウェアの人物に影響を受けているのか?Push Securityの研究者Dan Greenは、それは興味深い質問だが答えるのが難しいと言います。攻撃の傾向に基づくと、グループは一貫したアイデンティティベースの侵入パターンを示しており、特にOktaやMicrosoftのEntraのようなアイデンティティプラットフォーム上の高度な特権アカウントの乗っ取りを行っています。これらの手法は、2023年のカジノ攻撃を含め、大きな成功を収めています。
「私は、散在スパイダーが過去数年で見られたアイデンティティベースの手法の進化に一般的に影響を受けていると思います」とGreenは言い、その成功がグループとThe Com全体に大きな影響を与えた可能性があると述べています。
しかし、彼はDragonForceとの提携が、散在スパイダーが適応力があり、「目標を達成するために利用可能なものを何でも使用する意欲がある」ことを示していると言います。ロシアのランサムウェアグループを含めて。
脅威アナリストが散在スパイダーについて一致していることの一つは、法執行活動がほとんど影響を与えなかったということです。そして、彼らは組織に対し、グループの商標であるソーシャルエンジニアリング戦術、例えば多要素認証(MFA)爆撃や中間者攻撃フィッシングスキームだけでなく、動的DNSプロバイダーの使用による人気ブランドの偽装ドメインの生成などの新しい手法にも警戒するよう促しています。
「彼らは新しいことを試みています」とEdwardsは言います。「そして、以前と同じくらい攻撃的です。」
最新のDark Reading Confidentialポッドキャストをお見逃しなく、The Day I Found an APT Group in the Most Unlikely Placeでは、脅威ハンターのIsmael ValenzuelaとVitor Venturaが、高度な持続的脅威を追跡するために使用したトリックと、その過程で発見した驚きについての話を共有します。今すぐ聞く!