マイクロソフトは、Scattered Spiderの進化する戦術を強調し、このグループがクラウド環境へのアクセスを得るために新たな手法を使用していることを確認しました。
通常、このグループ(マイクロソフトによる追跡名はOcto Tempest)は、クラウドのID権限を利用してオンプレミスへのアクセスを獲得します。
しかし、マイクロソフトによると、最近の活動では、侵害の初期段階でオンプレミスのアカウントやインフラに影響を与えた後、クラウドアクセスへ移行する手法が確認されています。
また、このグループがDragonForceランサムウェアを展開していることも観測されています。テックジャイアントによる分析では、このランサムウェア展開が特にVMWare ESXハイパーバイザー環境に重点を置いていたことが強調されています。
このグループは、サービスデスクのサポート担当者を操作することで初期アクセスを得るために、引き続き積極的なソーシャルエンジニアリング戦術を使用しています。
また、正規の組織を模倣した敵対者中間者(AiTM)ドメインを利用したSMSフィッシングも展開しています。
最近では、航空会社を標的としたランサムウェアおよびデータ恐喝攻撃を積極的に行っています。2025年4月から7月の間に、小売、フードサービス、ホスピタリティ組織、保険業界を標的とした活動が確認されています。
Scattered Spiderについてさらに読む:Scattered Spiderが航空会社を積極的に標的、FBIが警告
マイクロソフト、セキュリティ製品を最新化し対応
マイクロソフトは、Scattered Spiderの戦術が進化し続ける中で、自社のセキュリティ製品も保護機能を継続的に更新していると述べています。
特に、同社はMicrosoft DefenderおよびMicrosoft Sentinelのセキュリティエコシステムを強調しました。
マイクロソフトは、Microsoft Defender内でScattered Spider関連の活動を特定するための幅広い検出機能を強調しました。これらは、エンドポイント、ID、SaaSアプリ、メールおよびコラボレーションツール、クラウドワークロードなど、セキュリティポートフォリオのあらゆる分野にわたり、包括的な保護を提供します。
Microsoft Defenderの組み込み自己防衛機能を使用することで、攻撃を妨害することができます。攻撃の妨害は、複数のインジケーターや挙動を利用し、それらをMicrosoft Defenderのワークロード全体で相関させ、高精度なインシデントとして検出します。
マイクロソフトによると、人気のあるOcto Tempestの手法から得られた過去の知見に基づき、攻撃の妨害はOcto Tempestが使用したユーザーアカウントを自動的に無効化し、侵害されたユーザーによるすべての既存のアクティブセッションを取り消します。
しかし、攻撃の妨害が成功した後も、セキュリティオペレーションセンター(SOC)チームがインシデント対応および事後分析を実施し、脅威が完全に封じ込められ、修復されたことを確認することが依然として重要です。
Scattered Spiderへの積極的な防御
マイクロソフトは、Scattered Spiderに対して積極的に防御するために、Security Exposure Managementソリューションを通じてセキュリティチームが利用できるいくつかの戦術を強調しました。
適切に展開された場合、これらの積極的な戦術は、露出を減らし、ハッカーのハイブリッド攻撃戦術の影響を軽減することができます。
これには、重要資産の保護、脅威アクターのイニシアチブ、攻撃経路分析などが含まれます。
マイクロソフトは、組織が多要素認証(MFA)、リスクベースのサインインポリシー、ユーザーおよびデバイスに対する最小権限アクセスなどを含む(ただしこれらに限定されない)手段を通じて、ID、エンドポイント、クラウドのセキュリティ対策を強化することを推奨しています。
翻訳元: https://www.infosecurity-magazine.com/news/microsoft-exposes-scattered/