Scattered Spider、CFOの認証情報を利用し「焦土作戦」攻撃を実行

読了時間：6分

出典：Andrea Danti（Alamy Stock Photo経由）

Scattered Spiderのメンバーは最近、ある未公表の組織に侵入し、最高財務責任者（CFO）を標的にして、その幹部の特権アクセスを利用した「焦土作戦」攻撃を実行しました。

サイバーセキュリティベンダーReliaQuestの新たな調査によると、この4日間にわたる攻撃は先月発生し、CFOの認証情報を入手することから始まりました。Scattered Spiderは、主に英語を話す若年層のサイバー犯罪者による緩やかな集団であり、ソーシャルエンジニアリングのスキルと、昨年複数の疑惑メンバーが逮捕された後も活動を続ける粘り強さで知られています。Scattered Spiderのメンバーは、最近の大手小売業者への攻撃や、保険会社への攻撃にも関与しています。

ReliaQuestによると、今回の攻撃チェーンはScattered Spiderのよく知られたソーシャルエンジニアリング手法から始まりましたが、一般的なセキュリティ防御の弱点を浮き彫りにするだけでなく、Scattered Spiderがエンタープライズインフラに精通していることも示しています。

経営幹部へのソーシャルエンジニアリング

ReliaQuestのレポートによると、被害組織は一連の連鎖的なセキュリティインシデントに見舞われ、脅威アクターはほぼすべての局面で防御側を一歩リードしていたようです。攻撃チェーンは、脅威アクターが組織の公開Oracle CloudポータルのCFOの認証情報（シングルサインオン用）を入手することから始まりました。

脅威アクターが最初にCFOのOracle Cloud認証情報へどのようにアクセスしたかは不明ですが、ReliaQuestの脅威調査チームは、Scattered Spiderが過去にタイポスクワッティングドメインで認証情報収集ツールを使用したことがあると指摘しています。攻撃者はまた、ターゲットの調査を行い、CFOの生年月日や社会保障番号の下4桁などの機密データも入手しました。

攻撃の1日目、脅威アクターはIPアドレス159.148.131[.]196からOracle Cloudポータルへのログインを試みましたが、多要素認証（MFA）が必要だったためログインに失敗しました。

しかし、攻撃2日目には、Scattered Spiderのアクターが組織のITヘルプデスクに連絡し、CFOになりすましました。「もっともらしいシナリオを提示し、経営幹部レベルのリクエストに対する本質的な信頼を悪用することで、攻撃者はヘルプデスクのスタッフを説得し、CFOアカウントに紐づくMFAデバイスと認証情報のリセットに成功しました」とレポートは述べています。

CFOのOracle Cloudアカウントの侵害に成功した攻撃者は、Entra IDの列挙を開始し、特権アカウントやグループ、サービスプリンシパル、その他の重要なID情報を被害組織のネットワーク内で特定しました。脅威アクターはまた、SharePointの探索を行い、VPNやVMware ESXiインフラを含む組織の技術スタックに関する機密ファイルを探しました。

これにより、脅威アクターは特権アカウントと攻撃の次の段階のためのロードマップを手に入れました。「Scattered Spiderが経営幹部アカウントを好む理由は2つあります。1つは特権が過剰であること、もう1つはこれらのアカウントに関連するITヘルプデスクリクエストが通常緊急扱いされるため、ソーシャルエンジニアリングの成功率が高まることです」と調査チームは述べています。

仮想環境の弱点を突く

攻撃チェーンの2日目、Scattered Spiderのアクターは組織のVMware Horizon仮想デスクトップインフラ（VDI）プラットフォームを標的にし、侵入を急速にエスカレートさせました。当初、必要な権限がなかったためプラットフォームへのアクセスには失敗しましたが、攻撃者はITヘルプデスクへのソーシャルエンジニアリングの電話で他の2つのアカウントの入手に成功しました。

2つのVDIインスタンスへのアクセスを得た攻撃者は、組織のオンプレミス環境へと横移動しました。脅威アクターは被害者のVPNインフラも侵害しました。ReliaQuestの調査チームは、VDIとVPNアクセスを組み合わせた横移動が脅威アクターの成功の中心であり、Scattered SpiderがエンタープライズのIDや仮想システムを理解し、熟練していることを示していると述べています。

オンプレミスアクセスを獲得した脅威アクターは、管理者アカウントでVMware vCenterプラットフォームにアクセスし、組織の仮想環境を引き続き標的にしました。仮想環境を完全に制御したScattered Spiderのアクターは、廃止済みの仮想マシン（VM）を復元したり、新たなVMを作成したり、攻撃者が制御するVMに仮想ドライブをマウントしたりして、特権アカウントの認証情報を含むNTDS.ditファイルを抽出しました。

「非仮想化環境でNTDS.ditファイルのダンプのような行為を行えば、通常は複数のインシデント対応（IR）アラートが発生します」とReliaQuestの研究者は記しています。「しかし、EDRの可視性がない仮想インスタンスを利用することで、攻撃者は不可視のままとなり、後追いのフォレンジック分析だけがこの活動を発見する唯一の手段となりました。」

ReliaQuestの調査チームの広報担当者は、vCenterの侵害が攻撃チェーンの転換点となり、侵入の深刻度が劇的に高まったと述べています。「このアクセスにより、攻撃者は永続化を確立し、ツールを潜入させ、作戦を大幅に拡大できました」と述べています。

特権アカウントを使い、Scattered SpiderはCyberArk特権アクセス管理（PAM）ボールトにアクセスし、1,400件以上のシークレットを入手しました。ReliaQuestの調査チームは、この大量の認証情報が短時間でダンプされたことから、攻撃者が自動化を利用した可能性が高く、Scattered Spiderが「プログラム的な悪用」へとシフトしていることを示していると述べています。

PAMボールトの侵害により、標的ネットワーク内でのアクセスと制御が大幅に拡大しました。脅威アクターは、Microsoft Exchange管理者ロールなど、追加のロールを自らが制御する侵害アカウントに割り当て、従業員のメールボックス（CISOのものも含む）へのアクセスを得ました。

焦土作戦：ハッキングはさらに悪化

攻撃の3日目、Scattered Spiderのアクターは組織のSnowflakeインスタンスを含む重要なデータベースアプリケーションにアクセスしました。また、前日にAzureサービスプリンシパルIDを侵害し、アプリケーションがAzureリソースにアクセスできるようにしたことで、攻撃者は侵害したサービスプリンシパルアカウントの1つにグローバル管理者ロールを割り当てました。

グローバル管理者ロールにより、脅威アクターは被害者のEntra IDテナントを完全に制御できるようになりました。ReliaQuestの研究者は、Scattered Spiderがアラートや検知を回避するため、特権昇格を慎重に行っていたと指摘していますが、最終的に組織のセキュリティチームが一部アカウントで不審な活動を特定し、対応を開始しました。

しかし、グローバル管理者ロールとExchange管理者ロールの両方を手にした脅威アクターは、侵害アカウントへのアクセスを迅速に復元したり、他のサービスプリンシパルIDに横移動したりできました。さらに、組織のインシデント対応（IR）を妨害するため、チームメンバーの受信箱を改ざんしました。たとえば、攻撃者は「会社が現在攻撃を受けている—今すぐ4つのアカウントをすべて停止せよ」という緊急メッセージを傍受し、実際のチームメンバーになりすまして返信しました。

攻撃の4日目、ReliaQuestの研究者は、IRチームと脅威アクターの間でグローバル管理者ロールの奪還をめぐる綱引きがあったと記しています。最終的にはMicrosoftが介入し、Entra IDテナントの制御を被害組織に戻しました。

ReliaQuestの広報担当者は、Scattered Spiderのメンバーが発見された後もクラウド環境の制御を維持しようとIRやセキュリティチームに対抗したのは、調査チームが初めて観測した事例だったと述べています。

レポートによれば、Scattered Spiderのメンバーは自分たちが発見されたことを知ると、脅威活動を加速させ、「焦土作戦的アプローチ」で組織に最大限の混乱をもたらしました。たとえば、攻撃者はAzureRunCommandsを使ってクラウド環境全体で悪意のあるスクリプトを実行しました。研究者は、これが「ランサムウェア前段階の活動」であった可能性が高いと述べています。

幸いにも、ReliaQuestの広報担当者によれば、攻撃者が完全に排除される前にランサムウェアが展開されることはありませんでした。しかし、多量の機密データを入手しただけでなく、脅威アクターは撤退時にもさらなる混乱を引き起こしました。「環境から排除される直前、Scattered SpiderはAzure Firewallのポリシールールコレクショングループを意図的に削除し、重要なビジネスオペレーションを停止させるなど、運用を妨害しました」と調査チームは述べています。

ReliaQuestのレポートは、この攻撃がScattered Spiderのヘルプデスク業務の操作能力や、クラウド・仮想環境の弱点を突く能力を示したと指摘しています。サイバーセキュリティベンダーは、このような攻撃を回避するため、特に機密性や特権の高いリクエストに対して身元確認プロセスを強化し、VDIやESXiホストのセグメント化と監視によって仮想環境を堅牢化し、不正な活動の検知や横移動の制限を行うことを推奨しています。