- Atlas Lionはフィッシングを使ってギフトカードシステムに侵入し、正規の従業員になりすました
- 攻撃者はインフラを調査し、マルウェアを避け、内部ワークフローを悪用してギフトカードを盗んだ
- ギフトカードは迅速で追跡不能、簡単に転売可能。アクセスはほぼ1年間続いた
モロッコのハッカー集団が何年にもわたりギフトカードを発行する企業を標的にし、システムに侵入してカードを盗み、おそらく闇市場で転売して利益を得ていると新たな調査で明らかになりました。
Palo Alto NetworksのUnit 42の研究者は、このキャンペーンを「Jingle Thief(ジングルシーフ)」と名付けました。これは主に祝祭シーズンに活発化するためです。
報告によると、「Atlas Lion」または「Storm-0539」として追跡されているこのグループは、まず慎重に標的を選び、できる限り多くの情報を収集した後、従業員に巧妙なフィッシングメールを送りつけます。これにより初期アクセスを獲得し、その後ITインフラを調査、特にSharePointやOneDriveに注目します。
なぜギフトカードなのか?
その後、ギフトカード発行のワークフローやチケットシステムのエクスポートや手順、VPNの設定やアクセスガイド、ギフトカードの発行や追跡に使われるスプレッドシートや内部ツール、組織の仮想マシン、Citrix環境などを探します。
(アラームを引き起こす可能性が高い)マルウェアを仕込む代わりに、攻撃者は内部フィッシングを使い、偽のITサービス通知やチケット更新などで従業員を狙い、より強固な足場を築きます。
ギフトカード発行プロセスを特定した後、正規ユーザーになりすましてギフトカードの取引を要求または承認し、実質的に盗み出します。
ギフトカードはサイバー犯罪者に人気です。迅速で交換可能、追跡が困難だからです。価値はほぼ即座に得られ、通常の送金のような銀行の痕跡も残りません。
一度利用されると、ギフトカードの資金は口座に移されたり消費されたりするため、回収や追跡は非常に困難です。同時に、サイバー犯罪者はダークウェブのマーケットプレイスで簡単に転売・換金できます。
Atlas Lionは長期的な計画で動いているとUnit 42は結論づけています。観測されたキャンペーンでは、ほぼ1年間アクセスを維持し、1つのグローバル企業内で60以上のユーザーアカウントを侵害しました。
研究者は、この方法でどれだけの金額が盗まれたかは明らかにしていません。
