- ハッカーがZendeskユーザーを標的に、タイポスクワットドメインで認証情報を盗む
- ReliaQuestが40以上のなりすましドメインを発見、Salesforceキャンペーンとの類似性も指摘
- 攻撃者は偽のZendeskチケットを提出し、マルウェア拡散やサポートスタッフのアクセス権を奪取
悪名高いScattered Lapsus$ Huntersグループは、かつてSalesforceユーザーを標的にしたことで有名ですが、現在はZendeskユーザーも標的にして、ログイン認証情報を盗み出し、機密情報へのアクセスを得ようとしていると専門家が警告しています。
ReliaQuestのセキュリティ研究者によると、過去6か月間で40以上のタイポスクワットドメインがZendeskを装って登録されました。中にはブランド名を含むもの(例:businessname-zendesk[dot]com)や、比較的汎用的なもの(例:vpn-zendesk[dot]com)もありました。
ReliaQuestが発見したすべてのドメインはNiceNicを通じて登録されており、登録者情報は英国または米国のもの(過去の侵害で盗まれた可能性あり)で、Cloudflareでネームサーバーがマスクされていました。
Discordも標的?
研究者たちは2024年のSalesforceインシデントを調査中にこのキャンペーンを発見し、「8月のキャンペーンを調査中に発見したドメインは、Zendeskのドメインと書式やレジストリの特徴、偽のSSOポータルの使用などで類似点があった」と述べています。
この情報が事実であれば、Scattered Lapsus$ Hunters(SLH)グループは夏の間も活発に活動していたことになります。
また、研究者たちはハッカーが自らZendeskポータルにチケットを提出することで、マルウェアに企業を感染させようとしていたとも述べています。
「これらの偽の提出は、サポートやヘルプデスク担当者を標的にしており、リモートアクセス型トロイの木馬(RAT)やその他のマルウェアに感染させることを狙っています」と報告書には記されています。
「この種の手口でヘルプデスクチームを狙う場合、巧妙に作られた前提(緊急のシステム管理依頼や偽のパスワードリセット依頼など)が用いられることが多いです。目的は、サポートスタッフを騙して認証情報を渡させたり、端末を危険にさらすことです。」
一部の報道では、このキャンペーンが最近のDiscordインシデントと関連していると指摘しています。10月には人気コミュニケーションプラットフォームがZendeskアカウントの侵害を発表し、請求情報やID番号、メールアドレスなどの機密データが盗まれました。しかし、SLHは関与を否定しています。SOCRadarによると、同グループはTelegramチャンネルでこの攻撃への関与を否定しています:
「私たちはDiscord Zendeskの侵害を自分たちの手柄だと主張したことはありません。実際、同時期に彼らのOktaには侵入しましたが……vxundergroundは私たちがZendesk侵害の背後にいると信じていました。私たちはそれを訂正しませんでした。なぜなら、それが面白かったし、真実はいずれ明らかになると分かっていたからです。」
