出典: mauritius images GmbH via Alamy Stock Photo
恐喝者兼情報ブローカーの「エベレストグループ」は、中東、アフリカ、ヨーロッパ、北米の大規模な組織に対して一連の攻撃を行い、現在は人事部門から盗まれた記録を元に被害者を恐喝しています。
今年5月、この長らく見過ごされていた脅威アクターは9件の新しいサイバー攻撃を宣伝しました。被害者は医療機関から建設および施設管理会社まで多岐にわたります。しかし、最大の成功はコカ・コーラに対するもので、数百人の従業員に関連する記録を盗みました。これには、名前や住所などの個人識別情報(PII)、給与記録、パスポートやビザのスキャンが含まれています。
これらの漏洩のそれぞれにおいて、VenariXの研究者はSAPのクラウドベースのHR管理プラットフォームであるSAP SuccessFactorsに関連するファイルを発見しました。研究者たちはこれらの攻撃が正当であると信じており、各ケースでの初期アクセスは「INK IT Solutions」という第三者のSAPサービスプロバイダーを通じて行われた可能性が高いと推定しています。
エベレストの成功の連続
コカ・コーラの他に、エベレストの5月の最も注目すべき被害者は、ナミビア、南アフリカ、スイス、アラブ首長国連邦(UAE)に拠点を持つ数十億ドル規模の病院グループであるMediclinic Groupと、アブダビの観光文化省(DCTA)です。また、ブルックリンを拠点とする医療画像会社PDI Healthや、ヨルダンに拠点を置く小規模銀行であるJordan Kuwait Bankのような小規模な企業にも攻撃を仕掛けました。
関連:インド警察、ミャンマーのビジネスモデルを模倣するサイバー犯罪ギャングを逮捕
各ケースにおいて、エベレストグループは会社の従業員に関する盗まれたデータを強調しています。例えばDCTAの場合、12GBの「社内データ」を所有していると主張しており、特に従業員に関する約1,500件の記録が含まれています。これにはパスポートやビザ、出生証明書や結婚証明書、大学の卒業証書などが含まれます。身分証明書、従業員のユーザー名、メールアドレス、保護された健康情報(PHI)、その他の機密ビジネスデータも危険にさらされた可能性があります。DCTAのウェブサイトは初期の事件の後、短期間ダウンしました。エベレストグループは、DCTAが要求に応じない場合、6月1日に期限が切れるカウントダウンクロックをリークサイトに掲載しています。
漏洩に含まれるデータは、これらの攻撃がSAP SuccessFactorsと関連していることを示唆しています。DCTAのデータの中には、SuccessFactorsの従業員プロファイル、現在または元DCTA従業員と思われる他のSuccessFactorsプロファイルのリスト、SuccessFactorsプロファイルから来たと思われる給与詳細が含まれています。建設会社Kaeferから盗まれたデータには、SuccessFactorsのユーザーディレクトリのCSVエクスポートが含まれています。コカ・コーラの漏洩データには、PDF形式の959のSuccessFactors従業員プロファイルが含まれています。
関連:SideWinder APT、インドの隣国政府をスパイしていることが発覚
つながりのある糸はさらに深く続いているようです。VenariXは、被害を受けた少なくとも5つの企業を、オーストラリアのメルボルンに拠点を置くSAPインテグレーターのINK IT Solutionsと何らかの形で関連付けました。Dark Readingは、SAPとINK IT Solutionsに連絡を取り、彼らが攻撃について何を知っているかを確認しました。どちらかの会社がコメントを提供した場合、このストーリーは更新されます。
捉えどころのないエベレストグループ
エベレストグループは2020年12月に初めて発見されましたが、これまでこれほどの注目を集めたことはありません。
その理由の一つは、攻撃のペースが遅くても着実であることかもしれません。VenariXは、グループに148件の既知のサイバー事件を帰属させており、設立以来、月に数件しか発生していません。攻撃は機会主義的で、さまざまな地理的場所や業界のさまざまな規模の組織に影響を与えています。最も注目すべきターゲットは、AT&T、イリノイ州の米国地方裁判所、ブラジルのリオグランデ・ド・スル州政府、NASAのパートナーであるコリンズ・エアロスペースです。
エベレストが注目を逃れているもう一つの理由は、特定が難しいからかもしれません。例えば、DCTAとコカ・コーラの事件は恐喝攻撃でしたが、イリノイ、ブラジル、コリンズ・エアロスペースはすべて、エベレストグループがダークウェブで他の脅威アクターに初期アクセスを販売した事例です。
関連:トルコのAPT、チャットアプリのゼロデイを利用してイラクのクルド人をスパイ
「彼らはある意味で奇妙です。最初はデータを販売していましたが、その後ランサムウェアに移行し、さらに初期アクセスの販売に移行し、今では再び侵害されたデータを販売しています」と、このストーリーのために匿名を選んだSearchlight Cyberのアナリストは述べています。「異なるモードを継続的に移行するハッキンググループの他の例を知りません」と彼は付け加えます。
「彼らにはグループに参加したアフィリエイトがいて、それぞれが得意なことを行い、その後グループを去ったのかもしれません。そうして、異なるスキルを持つ他のアフィリエイトが残され、彼らはそのチーム内のスキルセットで作業を行ったのかもしれません」と彼は推測します。このような形を変えることも、グループの戦術、技術、手順(TTP)が捉えどころのない理由を説明するのに役立ちます。「もし彼らが使用する戦術において停滞していたなら、時間をかけて研究するのが容易だったかもしれません。しかし、彼らが頻繁に変化しているため、彼らが一貫して使用している特定のツールや常に適用している攻撃方法を特定することはできません。」
最新のDark Reading Confidentialポッドキャストをお見逃しなく、最もありえない場所でAPTグループを発見した日、脅威ハンターのIsmael ValenzuelaとVitor Venturaが、高度な持続的脅威を追跡するために使用したトリックやその過程で発見した驚きを共有します。今すぐ聴く!
翻訳元: https://www.darkreading.com/cyberattacks-data-breaches/everest-group-extorts-global-orgs-hr-tool