FBIとサイバーセキュリティ・インフラセキュリティ庁(CISA)は火曜日に、更新された勧告を発表しました。この勧告では、サイバー犯罪集団Scattered Spiderが、いくつかの新しい侵入手法を用いて世界中でサイバー攻撃を続けていることについて警告しています。
この悪名高いグループは、ここ数か月で標的を拡大し、複数の国の小売業者、保険会社、航空会社なども含めるようになりました。主に英国と米国の標的に焦点を当ててきましたが、最近ではカナダやオーストラリア当局の注目も集めており、これらの国々が英国とともに新たな勧告に署名しています。
Scattered Spiderは「米国組織に対する深刻かつ継続的な脅威であり、巧妙なソーシャルエンジニアリングや侵入手法を用いて業務を妨害し、被害者を脅迫している」と4か国政府は警告しています。「彼らの活動は複数の分野に影響を及ぼしており、ランサムウェアが国家安全保障や経済の安定性に引き続きリスクをもたらしていることを浮き彫りにしています。」
Scattered Spiderは、ITヘルプデスク担当者を騙して認証情報を渡させたり、多要素認証を回避させたりするソーシャルエンジニアリング攻撃を行い、標的のシステムへの直接アクセスを獲得しています。
新たな政府勧告によると、このグループはフィッシング、「プッシュボミング」(多要素認証のプッシュ通知を標的に大量送信し、最終的に承認させる手法)、SIMスワップ攻撃など、さまざまな手法を用いています。
Scattered Spiderは、データ恐喝攻撃に使用するため、Dragonforceを含む複数のランサムウェアの亜種も展開しています。
Microsoftの研究者は今月初め、このグループが中間者攻撃の手法やテキストメッセージサービスの悪用を行っていると述べています。
国際的な勧告によると、Scattered Spiderは最近、標的としたコンピュータネットワーク上のデータを暗号化し、身代金を要求する事例が観測されています。このグループはVMWare ESXiサーバーなども暗号化しています。
英国当局は今月初め、4人を逮捕しました。これはMarks & Spencer、Harrods、Coopなどの小売業者に対するソーシャルエンジニアリング攻撃に関連しており、研究者はこれらの攻撃をScattered Spiderと結びつけています。
研究者によれば、この逮捕によってセキュリティコミュニティが自らの体制を再評価するための一時的な機会が生まれる可能性があります。
最新情報をお届けします。Cybersecurity Diveの無料日刊ニュースレターにご登録ください。
「英国でScattered Spider(UNC3944)とされるメンバーが最近逮捕されて以来、Mandiant Consultingはこの特定の脅威アクターに直接起因する新たな侵入を観測していません」とMandiant Consulting – Google CloudのCTO、チャールズ・カーマカル氏は述べています。
「これは、組織がUNC3944が非常に効果的に用いた手法を徹底的に研究し、自社のシステムを評価し、それに応じてセキュリティ体制を強化するために活用すべき重要な機会です。」
Mandiantの関係者は、UNC6040を含む他のグループもScattered Spiderと同様の手法を用いていると警告しています。このグループはソーシャルエンジニアリング攻撃でSalesforceインスタンスを悪用しています。
ここ数か月、他の大手企業もScattered Spiderの特徴を持つ侵入を公表しています。カンタス航空は最近、侵害を公表しました。この侵害は570万人の乗客に影響し、ハッカーが同航空会社のコールセンターの1つに侵入したとしています。
北米アリアンツ生命保険会社は金曜日に、侵入を発表しました。この侵入は同社の140万人の顧客の大半に影響しました。
7月22日、クロロックスはITヘルプデスクプロバイダーのコグニザントを提訴しました。その額は3億8,000万ドルで、同社のベンダーが2023年に発生した壊滅的な攻撃(専門家がScattered Spiderによるものと指摘)を防げなかったと主張しています。訴訟では、コグニザントが攻撃者を適切に認証せずにネットワーク認証情報を渡したとされています。これに対し、コグニザントはクロロックス自身のセキュリティの不備が原因だと反論しています。
翻訳元: https://www.cybersecuritydive.com/news/fbi-cisa-warn-scattered-spiders-tactics/756164/