最近、英国と米国の様々な小売業者を標的にしたことで知られる悪名高いサイバー犯罪グループ、Scattered Spider(別名UNC3944)が、大手保険会社を狙い始めたと、Google Threat Intelligence Group(GTIG)が報告しています。
“Google Threat Intelligence Groupは、Scattered Spiderの活動の特徴を持つ複数の侵入が米国で発生していることを認識しています。”と、GTIGのチーフアナリストであるJohn Hultquistは月曜日のメールで述べました。
“現在、保険業界での事件が見られます。このアクターが一度に特定のセクターに集中する歴史を考えると、保険業界は特に彼らのヘルプデスクやコールセンターを狙ったソーシャルエンジニアリングのスキームに対して警戒を強めるべきです。”
Scattered Spiderは、組織に侵入するための高度なソーシャルエンジニアリング戦術で知られる曖昧な集団に与えられた名前です。最近数ヶ月で、脅威アクターは、RansomHubのインフラの乗っ取りとされる出来事を受けて、DragonForceランサムウェアカルテルと同盟を結んだと考えられています。
“このグループは、従業員になりすまし、ITサポートチームを欺き、巧妙な心理戦術を通じて多要素認証(MFA)を回避する能力を繰り返し示しています。”と、SOS Intelligenceは述べました。
“しばしば「ネイティブの英語話者」として説明される彼らは、西側諸国で活動しているか、またはその国々と関係があると疑われており、その文化的流暢さがフィッシングや電話を使った攻撃を驚くほど効果的にしています。”
今月初め、ReliaQuestは、Scattered SpiderとDragonForceが、単一の侵害を通じて複数の下流顧客にアクセスするために、マネージドサービスプロバイダー(MSP)やIT契約者をますます標的にしていると明らかにしました。
Google傘下のMandiantは、脅威アクターがしばしば大企業を狙い、より大きな報酬を得ようとしている可能性があると述べました。
特に狙われているのは、大規模なヘルプデスクや外部委託されたIT機能を持ち、ソーシャルエンジニアリング攻撃に対して脆弱な企業です。
このe犯罪グループが使用する戦術に対抗するためには、認証を強化し、厳格なアイデンティティ管理を施行し、特権の昇格や横方向の移動を防ぐためのアクセス制限と境界を実施し、ヘルプデスクのスタッフに対してアカウントをリセットする前に従業員を正確に識別するよう訓練することが推奨されます。
翻訳元: https://thehackernews.com/2025/06/google-warns-of-scattered-spider.html