TokyoBlackHatNews

gbhackers.com 4分で読了

Scripted Sparrow、攻撃メッセージの生成と送信に自動化を活用

3大陸にメンバーがまたがる多産なビジネスメール詐欺(BEC)集団であるScripted Sparrowは、大規模な不正活動を支える高度な自動化インフラにより、サイバーセキュリティ研究者の間で大きな懸念を引き起こしている。

Fortraのインテリジェンスおよびリサーチ専門家(FIRE)による最近の分析によれば、月間300万通と推定される極めて標的を絞ったメッセージという驚異的な運用規模は、メッセージ生成と配信の双方における堅牢な自動化システムなしには実現不可能だという。

同グループの手口の中心は、エグゼクティブ・コーチングおよびリーダーシップ研修のコンサルティング会社になりすますことにある。

攻撃メッセージは被害組織の買掛金(Accounts Payable)担当者を狙い、架空のコンサルティング会社と企業幹部との間で交わされたように見せかけた偽装返信チェーンに加え、2つのPDF添付(5万ドル弱の金額を請求する偽の請求書と、記入済みのW-9フォーム)を含むのが一般的である。

Scripted Sparrowが従来型のBECオペレーターと一線を画すのは、自動化プロセスによってこれらのキャンペーンを体系的にスケールさせるアプローチにある。

自動化戦術の進化

Scripted Sparrowの自動化戦略は、2024年6月に最初の活動が観測されて以降、大きく進化している。

初期のキャンペーンでは、個別の役員名ではなく「Dear Customer」のような汎用的な文言が用いられていた。

同グループは自動化システムを段階的に改良し、自然で文脈に即しているように見える複雑な複数メッセージの偽装返信チェーンを伴う、より説得力のあるメッセージを生成できるようになった。

最近の戦術では、極めて高度な進展が見られた。グループは、最初のメッセージから意図的に約束したPDF添付ファイルを省くようになっている。

この計算された手法により、潜在的な被害者は不足している文書を求めて返信せざるを得なくなり、運用用メールアカウントを露出させる前に、引っかかりやすい標的を実質的にふるいにかけることができる。

この2段階プロセスは、単なる送信量よりも被害者の選別を優先する、洗練された自動化ロジックを示している。

Scripted Sparrowの活動範囲は、自動化インフラへの依存を浮き彫りにしている。

Fortraの研究者は、同社のSuspicious Email Analysisサービスを通じて496件のユニークな対応(エンゲージメント)を特定した。

しかし、単一の登録ドメイン(kornferry.ws)が23組織にまたがる活動を生み、70人のユーザーを標的にしていたことから外挿すると、研究者は保守的に見積もって、捕捉された1通のメッセージにつきScripted Sparrowは約70,000通のメッセージを送信していると推定している。

Scripted Sparrow messages by month.

2025年9月の活動ピーク(94件のエンゲージメント)は、おそらく約660万通の標的型メッセージに相当したとみられる。

この運用ペースを維持するため、Scripted Sparrowは無料のウェブメールアドレス、新規登録ドメイン、侵害された正規組織のメールボックスを組み合わせた多様なインフラを活用している。

ある脅威アクターは、11月4th のUTC 13:50にデバイスのIPアドレスを切り替え、5秒未満でGPS位置情報をサンフランシスコ湾岸地域からトロント郊外へ変更することに成功した。

 サスカチュワン州の遠隔地。

研究者は、同グループが最終的に生成AI技術を取り込み、メッセージのパーソナライズと真正性をさらに高めることで、標的受信者にとって自動化攻撃が一層見分けにくくなる可能性があると予測している。

地理的分布とOpSec

アクティブ・ディフェンスのエンゲージメントにより、Scripted Sparrowのメンバーがナイジェリア、南アフリカ、トルコ、カナダ、米国にまたがって活動していることが明らかになった。

同グループはドメイン調達において、NameSiloおよびDynadotのレジストラを圧倒的に好んでいる。734個のPDF添付ファイルの分析では、約76%がSkiaで生成されており、標準化された自動PDF生成ツールの使用が示唆される。

Registrars used by Scripted Sparrow.

注目すべき点として、この集団は VPNの使用、ブラウザプラグインによる位置情報の偽装、リモートデスクトッププロトコルの実装など、複数の運用セキュリティ対策を講じている。

内部のグループ連絡にTelegramを使用している証拠は、組織的な連携体制の存在をさらに示している。

Scripted Sparrowは、€9,905を要求するスウェーデン語の非英語メッセージが初めて観測されたことからも分かるように国際的な拡大を続けており、活動が減速する兆しは見られない。

組織は厳格な支払い承認プロトコルを実装し、メールの返信チェーンに依存するのではなく公式な連絡経路を通じてすべての支出を確認しなければならない。返信チェーンは、どれほど高度であっても容易に偽装可能であるためだ。

翻訳元: https://gbhackers.com/scripted-sparrow/

ソース: gbhackers.com
#PDF添付ファイル悪用 #Scripted Sparrow #オペレーショナルセキュリティ(VPN・位置偽装・RDP) #なりすまし(スプーフィング) #ビジネスメール詐欺(BEC) #フィッシング #生成AIによる攻撃高度化 #脅威インテリジェンス(Fortra FIRE) #自動化攻撃 #請求書詐欺

関連記事

盗まれたGemini APIキーが自動化されたTelegramの影響工作に悪用

KMW CCTVの深刻な脆弱性、監視映像への不正アクセスを許容

ロシア高官のスマートフォンに外国製スパイウェア——大規模サイバー諜報作戦が発覚