TokyoBlackHatNews

theregister.com 4分で読了

Zendeskユーザーが標的に:Scattered Lapsus$ Huntersが偽サポートサイトを立ち上げ

Scattered Lapsus$ Huntersは、最新の恐喝キャンペーンでZendeskユーザーを狙っている可能性があり、ReliaQuestによって新たなフィッシング用ドメインと武器化されたヘルプデスクチケットが明らかになっている。

研究者たちは、過去6カ月の間にZendeskのポータルを模倣するよう設計された、「znedesk.com」や「vpn-zendesk.com」といった名前を含む40以上のタイポスクワットおよびなりすましドメインを発見したと述べている。一部は認証情報の窃取を狙った偽のシングルサインオン(SSO)ページをホストし、別のものはヘルプデスク担当者に対して不正なチケットを送信するために使われている。

これらはすべて共通の登録上の特徴を持つ ― 同じレジストラ(NiceNic)、米国または英国の連絡先情報、そしてCloudflareでマスクされたネームサーバーだ。これは、以前Salesforceを標的にしたなりすましキャンペーンとほぼ同一のプロファイルであり、この類似性から、セキュリティ関係者は両方のスキームの背後に同じ犯罪グループ、すなわち「引退した」とされるScattered Lapsus$ Huntersクルーがいると疑っている。

「これらの要素は、2025年8月に顧客関係管理プラットフォームSalesforceを標的にした最近のScattered Lapsus$ Huntersキャンペーンを想起させます」と、ReliaQuestの脅威研究者は今週のブログ投稿で述べた。

これは単なるフィッシングのノイズにとどまらない。ReliaQuestによると、攻撃者はサポートインターフェースのなりすましと標的型侵入を連鎖させているようで、実在の組織が運用する正規のZendeskポータルに悪意あるチケットを送信し、リモートアクセス型トロイの木馬(RAT)をエージェントの端末に直接落とし込む可能性があるという。いったん内部に侵入すれば、企業ネットワーク内を横移動しながら、知的財産や機密データをひそかに奪い取ることができる。

これらの発見は、DiscordのZendeskベースのサポートシステムが侵害された2025年9月のDiscord侵害に不穏な文脈を与える。当時、このインシデントは孤立したデータ窃取として扱われていた ― とはいえ、攻撃者がユーザー名、メールアドレス、請求情報、IPログ、政府発行の身分証明書を盗み出した、非常に厄介なものではあった。

しかしReliaQuestは、この侵害はおそらくScattered Lapsus$ Huntersの仕業であり、新たに発見されたなりすましドメイン群とエージェントを標的にしたチケットは、このグループが攻撃戦略の一環としてサポートプラットフォームへの依存度を高めていることを示していると述べている。ギャングは今月初め、Telegram上で「2026年を待て、今3〜4件のキャンペーンを同時進行している」と豪語し、インシデントレスポンダーに対して「#ShinyHuntazzが顧客データベースを回収しに来る」ので2026年1月までログを注視するよう警告していた。

「今回明らかになったZendesk関連インフラは、これらキャンペーンの1つの一部である可能性が高い」とReliaQuestは述べた。「Scattered Lapsus$ Huntersは、2025年11月に顧客成功プラットフォームGainsightが侵害された件について犯行声明を出しており、Telegramで予告されたキャンペーンターゲットの2つ目がZendeskである可能性は十分に現実的です。」

Scattered Lapsus$ Huntersは、今年すでにSalesforceに対する大規模キャンペーンで世間を騒がせている。10月には、このグループはダークウェブ上にリークサイトを開設し、多数のSalesforce顧客からデータを盗んだと主張した。このサイバー犯罪グループは、最大10億件のレコードを盗んだと主張し、身代金要求に応じなければそれらを公開すると脅迫した。

この新たな攻撃の波は、構造的な変化を反映している。ネットワークを直接ハッキングしたりゼロデイを悪用したりするのではなく、現代のサイバー犯罪者はSaaSツールにおけるアイデンティティと信頼を武器化しているのだ。

Scattered Lapsus$ Hunters自体は、もともと別々だった組織の連合体である。ソーシャルエンジニアリングに長けたScattered Spider、データ窃取の古参であるShinyHunters、そして恐喝志向のLapsus$が合流し、2025年のエンタープライズITの実情に最適化された「スーパーグループ」を形成している。

それゆえ、彼らがヘルプデスクインフラに関心を寄せるのは理にかなっている。Zendeskは10万社以上の企業で、社内外のサポートワークフローに利用されている。それを侵害できれば、何千もの企業の「玄関口」を掌握できるかもしれない。®

翻訳元: https://go.theregister.com/feed/www.theregister.com/2025/11/27/scattered_lapsus_hunters_zendesk/

ソース: go.theregister.com
#Discord情報漏えい #Microsoft 365認証情報窃取 #SaaSセキュリティ #Salesforceインシデント #Scattered Lapsus$ Hunters #Zendesk #サイバー恐喝 #タイポスクワッティングドメイン #フィッシング攻撃 #ヘルプデスクプラットフォーム攻撃

関連記事

「アホ」な犯罪者が「ランサムウェアクラブの第一のルール」を破る

CiscoがMythosを絶賛——しかしモデルが発見したバグ数は非公開

ロシア情報機関、外国スパイが高官のスマートフォンを監視装置に変えたと主張