Scattered Spider攻撃の解剖：拡大するランサムウェア脅威の進化

Scattered Spiderは、最近ますます話題となっており、手法を進化させつつ、より幅広い企業に対して犯罪活動の範囲を拡大しています。

少なくとも2022年5月から活動しているこの金銭目的のサイバー犯罪グループは、当初はMGMリゾーツやシーザーズ・エンターテインメントなどの通信・エンターテインメント企業を、SIMスワッピングやランサムウェア攻撃によって標的にしていました。

[ 関連情報: CISOがScattered Spiderランサムウェア攻撃から守る方法 ]

時間の経過とともに、このグループはより高価値な業界へと標的を移し、特に5月にはMarks & Spencer、Co-op、Harrodsといった大手小売業者、そして最近ではHawaiianやQuantasなどの航空会社を攻撃し、業務に大規模な混乱と数百万ドル規模の損害・復旧費用をもたらしました。

今週、英国国家犯罪対策庁（NCA）はMarks & Spencer、Co-op、Harrodsへの攻撃に関して4人を逮捕したと発表しましたが、法執行機関はグループの脅威が収まったとは示していません。

Scattered Spiderは、積極的なソーシャルエンジニアリングの手法で悪名高く、より広範な業界を、より高度な攻撃で標的にしていると考えられています。同グループの最新の戦術を理解することは、CISOが脅威に備えるのに役立ちます。

脅威検知・対応ベンダーReliaQuestによる事後分析の対象となった最近の攻撃では、Scattered Spiderは高度なソーシャルエンジニアリングを用いて、組織のEntra ID、Active Directory、仮想インフラを侵害しました。この攻撃チェーンは、Scattered Spiderが忍耐強い計画性と迅速な実行力、そしてクラウドベースおよびオンプレミスの企業ITシステムに関する知識を高めていることを示しています。

Scattered Spiderは発覚のリスクを最小限に抑えるよう注意を払い、攻撃が発覚した後も、積極的に侵害したシステムの制御を維持しようとしました。

Scattered Spiderの進化する攻撃計画

Scattered Spiderは、匿名の組織の公開Oracle Cloud認証ポータルを標的に攻撃を開始し、最高財務責任者（CFO）を狙いました。

Scattered Spiderは、CFOの生年月日や社会保障番号の下4桁など、公開情報や過去の漏洩から得た個人情報を使い、CFOになりすまして会社のヘルプデスクに電話し、CFOの登録デバイスと認証情報のリセットをヘルプデスク担当者に依頼して騙しました。

この詐欺は、経営幹部からの依頼にヘルプデスク担当者が通常優先度を高くすること、そしてIT組織がCレベルアカウントに過剰な権限を与えがちであることが手助けとなりました。また、ReliaQuestによれば、これはScattered Spiderの戦術の進化も示しています。以前は、タイプミスを利用したドメインから認証情報を収集していましたが、最近の攻撃では最初から正規の認証情報を入手しているケースが見られます。

CFOのアカウントにアクセスしたScattered Spiderは、Entra ID（Azure AD）の特権アカウントやグループを調査し、SharePoint上の機密ファイルを特定し、標的組織のオンプレミスITシステムやクラウド環境を把握しました。

サイバー犯罪者たちは、CFOの認証情報を使って標的のHorizon仮想デスクトップインフラ（VDI）に侵入し、さらにソーシャルエンジニアリングで2つのアカウントを侵害してオンプレミス環境へと横展開しました。同時に、組織のVPNインフラも侵害し、リモートで侵害システムへのアクセスを維持しました。

Scattered Spiderはその後、廃止された仮想マシンを再稼働させ、自身の管理下で並行する仮想環境を構築し始め、仮想化された本番ドメインコントローラーをシャットダウン、NTDS.ditデータベースファイル（Active Directory認証情報）を抽出しました—その間、従来のエンドポイント検知を回避していました。

サイバー犯罪者たちは、標的のCyberArkパスワードボールトに紐づく管理者アカウントや、おそらく自動化スクリプトを悪用して、1,400以上のシークレット情報を抽出しました。Scattered Spiderは、侵害したユーザーアカウントに管理者権限を付与し、ngrokなどのツールを使って仮想マシンへのアクセスを維持しました。

「グループは複数回にわたり、侵害したユーザーに追加の役割、特にExchange管理者権限を付与しました」とReliaQuestは述べています。「この権限を使い、注目度の高い従業員の受信箱を監視し、攻撃者がセキュリティチームより先手を打ち、環境の制御を維持できるようにしていました。」

ITリソースを巡る攻防

攻撃は巧妙でしたが、侵害された企業のインシデント対応担当者が攻撃を検知し、組織のITリソースの制御を巡る綱引きが始まりました。これに対し、Scattered Spiderは隠密な侵入を諦め、業務妨害や対応・復旧の妨害を狙った積極的な行動に出ました。

例えば、グループはAzure Firewallのポリシールールコレクショングループの削除を開始しました。最終的に攻撃は、少なくとも主目的では阻止されました。機密データの一部は抽出されましたが、ランサムウェアの展開という計画は実現しませんでした。

この特権ロールを巡る攻防はエスカレートし、最終的にはMicrosoftが介入してテナントの制御を回復する事態となりました。

「Scattered Spiderの最新キャンペーンは、人間中心の搾取と技術的な高度さを組み合わせ、IDシステムや仮想環境を侵害する能力の進化を示しています」とReliaQuestは結論付けています。

より速く、より広く、より強く

Rapid7の脅威分析シニアディレクター、Christiaan Beek氏はCSOに対し、Scattered Spiderの手法はここ数ヶ月で進化し、クラウドベースシステムの知識を深め、より攻撃的で多面的な攻撃を展開していると語りました。

Beek氏は、Scattered Spiderの武器庫に加わった以下の要素を指摘しています：

• クラウド侵入技術：「このグループは、AWS Systems Manager Session Manager、EC2 Serial Console、IAM（IDおよびアクセス管理）ロールの列挙などを用いてクラウドインフラ内でピボットや永続化を行うなど、クラウド環境に対する深い理解を示しています。これらは通常、先進的な脅威アクターに見られる手法です」とBeek氏。
• 新たな永続化手法：「彼らはTeleportのような正規のインフラツールを悪用して長期的なアクセスを確保し、従来の検知を回避する暗号化されたアウトバウンド接続を設定しています。これは、以前の商用RMM（リモート監視管理）ツールだけに頼っていた時期からの変化です」とBeek氏。
• より速く、多層的な攻撃：Scattered Spiderのオペレーションは、より攻撃的かつ短期間で行われるようになっています。「初期侵害から数時間以内—多くはソーシャルエンジニアリング経由—で特権昇格、横展開、永続化の確立、クラウドとオンプレミス両方での偵察を開始します。このスピードと流動性は、運用成熟度の大幅な向上を示しています」とBeek氏は説明します。

Scattered Spiderは、ここ数ヶ月で新たな業界—まず小売、次にテクノロジー、金融、そして現在は航空—へと標的を拡大していますが、基本的な手口は変わっていないとReliaQuestの研究者は指摘しています。

「この変化は、グループが金銭的利益を最大化するために標的を柔軟に変えていることを示しています」とReliaQuestの広報担当者はCSOに語りました。「とはいえ、戦術自体は大きく変わっていません。Scattered Spiderは依然として高度なソーシャルエンジニアリングでヘルプデスク担当者を狙い、高価値アカウントへのアクセスを得ています。」

対策

先週のブログ記事で、セキュリティツールベンダーのRapid7は、Scattered Spiderの最新の戦術・技術・手順（TTPs）と、防御のベストプラクティスについて解説しました。

「[この]グループの手法は実行面では高度ですが、ヘルプデスクの本人確認への過度な依存や、管理ツールの監視されていない利用など、基本的なセキュリティ対策の不備を突くことが多い」とRapid7の研究者は記しています。「これらの分野を強化し、ユーザー教育や最新の認証制御を導入することで、Scattered Spiderのソーシャルエンジニアリングと技術力の組み合わせに対して強力な防御となります。」

「フィッシング耐性のあるMFAは、攻撃の初期段階でブロックする鍵となります。また、クラウドやエンドポイントでの厳重な監視は、異常な挙動をエスカレート前に検知するのに役立ちます。技術面だけでなく、厳格なID管理の実践も重要です」とRapid7のBeek氏はCSOに語りました。「これは、恒常的な特権の制限や、機密操作に対する承認の徹底、アクセス権の定期的な見直しを意味します。」

ReliaQuestの研究者は、Scattered Spiderに効果的に対抗するには、人間と技術の両面の脆弱性に取り組む必要があると指摘しています。

「これらの攻撃に対抗するには、ヘルプデスクの本人確認手順を強化して不正アクセスを防ぎ、仮想化インフラを堅牢化して不審な活動を検知し、従業員に対してソーシャルエンジニアリング対策の訓練とテストを定期的に実施することが重要です」とReliaQuestは助言しています。「これらの対策は、IDシステムやワークフローを保護し、グループによる信頼の操作や防御回避を阻止します。」