研究者らは、グループが8月にSalesforceを攻撃した際と同じ手法を用いた40以上の偽ドメインを発見しました。
Scattered Lapsus$ Huntersは、資格情報を盗みマルウェアをインストールするために設計された40以上の偽ドメインを通じてZendeskユーザーを標的にしたと、セキュリティ研究者が述べています。
過去6か月間に登録されたこれらの偽ドメインは、ReliaQuestの研究者が今週公開したブログ記事によると、サイバー犯罪グループが8月にSalesforceを攻撃した際に使用したものと同じ手法だったとのことです。これは、グループが10万以上の組織で利用されているカスタマーサポートプラットフォームZendeskに標的を移したことを示唆しています。
znedesk[.]comやvpn-zendesk[.]comのような一部のドメインは、本物のZendeskログイン画面に似せた偽のログインページをホストしていたとReliaQuestは述べています。他のドメインは、ウェブアドレスに企業名を組み込むことで、サイトを正規のものに見せかけていました。「また、URL内に複数の組織名やブランド名を含むZendesk関連のなりすましドメインも確認しました。これにより、何も疑わないユーザーがこれらのリンクを信頼してクリックする可能性がさらに高まります」と研究者らは記しています。
すべてのドメインはNiceNicを通じて登録されており、米国および英国の連絡先情報とCloudflareでマスクされたネームサーバーが使われていました。これはReliaQuestがSalesforceキャンペーンで観察したものと同じパターンです。
Scattered Lapsus$ Huntersは、2025年8月にScattered Spider、Lapsus$、ShinyHuntersという3つのサイバー犯罪グループが合流して結成された連合体です。結成以来、同集団は8月と10月に大規模なSalesforceキャンペーンを展開し、トヨタ、FedEx、ディズニーを含む数十社のデータが流出しました。
偽サポートチケットがヘルプデスクを襲う
偽ドメインに加え、攻撃者は実際のZendeskポータルに偽のチケットも送信していたとReliaQuestは述べています。これらのチケットは緊急のITリクエストやパスワードリセットを装い、ヘルプデスク担当者を騙してマルウェアをダウンロードさせたり、ログイン情報を渡させたりするものでした。
「このような手口でヘルプデスクチームを標的にする場合、緊急のシステム管理リクエストや偽のパスワードリセット依頼など、巧妙に作られた口実がよく使われます」とReliaQuestは記しています。「目的は、サポートスタッフを騙して資格情報を渡させたり、端末を危険にさらしたりすることです。」
研究者によると、ヘルプデスク担当者は通常、組織内の多くのシステムにアクセスできるため、1つのアカウントが侵害されるだけでも攻撃者にとって非常に価値が高い標的となります。
Scattered Lapsus$ Huntersは、ヘルプデスクをソーシャルエンジニアリングで侵害する手口を過去にも使用しています。同グループは企業のヘルプデスクに電話をかけ、従業員になりすましてサポートスタッフを騙し、パスワードをリセットさせたり、多要素認証システムに不正なデバイスを追加させたりする手法を完成させており、これは過去の航空会社や小売業者への攻撃でもセキュリティ企業により記録されています。
Discordの侵害が関連している可能性
Zendeskキャンペーンは単独の事件ではない可能性があります。Discordは10月9日、同社のカスタマーサービスプロバイダーである5CAが侵害され、年齢確認のために政府発行IDを提出した約7万人のユーザーデータが流出したと発表しました。この侵害では、Discordのカスタマーサポートやトラスト&セーフティチームに連絡したユーザーのサポートチケットデータも流出しました。
Zendeskキャンペーンは、Scattered Lapsus$ Huntersが11月初旬のTelegram投稿で予告していた複数の攻撃の一つであった可能性が高いとReliaQuestは述べています。
Scattered Lapsus$ Huntersは当初、Discord攻撃への関与を否定していましたが、その後Telegramで犯人を知っていると投稿したと研究者らは述べています。
「2026年を待て、我々は今3~4つのキャンペーンを同時進行中だ」と研究者らはグループのメッセージを引用しています。「すべてのIR(インシデント対応)担当者は、2026年1月までの年末年始にログを監視しながら勤務すべきだ。#ShinyHuntazzが顧客データベースを回収しに来るからな。」
同グループはまた、今月初めにカスタマーサクセスプラットフォームGainsightを侵害したとも主張しています。「現実的に考えて、ZendeskはTelegramで予告されたこれらのキャンペーンターゲットの2番目である可能性が高い」とReliaQuestは述べています。
模倣犯の可能性
インフラのパターンはScattered Lapsus$ Huntersを示唆していましたが、ReliaQuestはブログ記事で、同グループの成功に触発された模倣犯の存在も否定できないと述べています。
「Zendeskの標的化や同様のサプライチェーン攻撃の成功が、模倣犯やScattered Lapsus$ Huntersから分裂したグループを生み出した可能性も現実的です」と研究者らは記しています。「このようなパターンは以前にも見られました。たとえばBlack Bastaでは、法執行機関が元の作戦を妨害した後も後継グループが同じ手法を使い続けていました。」
カスタマーサポートプラットフォームは、企業がメールほど厳重に監視していないことが多い一方で、多くの組織の資格情報や顧客データに攻撃者がアクセスできるため、良い標的になると研究者らは述べています。
9月に「活動を停止し闇に潜る」と発表したにもかかわらず、Scattered Lapsus$ Huntersはその後、2026年に新たなサブスクリプション型「恐喝アズアサービス」プラットフォームで復帰するとTelegram投稿で約束したとされています。
ReliaQuestは調査結果をZendeskと共有したと述べています。ZendeskはCSOのコメント要請にすぐには応じませんでした。
