2025年7月30日Ravie Lakshmanan
Google CloudのMandiant Consultingは、悪名高いScattered Spiderグループの活動が減少していることを明らかにしましたが、この沈静化の期間を利用して組織が防御体制を強化する必要性を強調しています。
「最近のScattered Spider(UNC3944)メンバーとされる人物の英国での逮捕以降、Mandiant Consultingはこの特定の脅威アクターに直接起因する新たな侵入を観測していません」と、Google CloudのMandiant Consulting CTOであるチャールズ・カルマカル氏はThe Hacker Newsへの声明で述べました。
「これは、組織がUNC3944が非常に効果的に用いた戦術を徹底的に研究し、自社のシステムを評価し、それに応じてセキュリティ体制を強化するために活用すべき重要な機会です。」
カルマカル氏はまた、他の脅威アクター、たとえばUNC6040のようなグループが、Scattered Spiderと同様のソーシャルエンジニアリング手法を用いて標的ネットワークへの侵入を試みているため、企業は「完全に警戒を緩めてはならない」と警告しています。
「あるグループが一時的に休眠状態でも、他のグループは手を緩めません」とカルマカル氏は付け加えました。
この動きは、テック大手が詳細を明らかにした、金銭目的のハッキンググループによる北米の小売、航空、運輸業界を標的としたVMware ESXiハイパーバイザーへの積極的な攻撃が明らかになった中でのことです。
米国政府はカナダやオーストラリアとともに、今月に入って連邦捜査局(FBI)が実施した調査の一環として得られたScattered Spiderの最新の手口をまとめた勧告を更新して発表しました。
「Scattered Spiderの脅威アクターは、データ恐喝攻撃で様々なランサムウェアの亜種を使用していることが知られており、最近ではDragonForceランサムウェアも含まれています」と各機関は述べています。
「これらのアクターは、フィッシング、プッシュボミング、SIMスワップ攻撃などのソーシャルエンジニアリング手法を頻繁に使用して認証情報を取得し、リモートアクセスツールをインストールし、多要素認証を回避します。Scattered Spiderの脅威アクターは一貫してプロキシネットワーク([T1090])を使用し、マシン名をローテーションさせて検知と対応をさらに困難にしています。」
このグループはまた、従業員になりすましてIT部門やヘルプデスクのスタッフを説得し、機密情報の提供や従業員のパスワードリセット、多要素認証(MFA)の自分たちの管理下にあるデバイスへの移行を依頼する手口も観測されています。
これは、脅威アクターが従来のようにヘルプデスク担当者になりすまして電話やSMSで従業員の認証情報を入手したり、市販のリモートアクセスツールの実行を指示して初期アクセスを得る手法からの変化を示しています。その他のケースでは、ハッカーがRussia Marketなどの闇市場で従業員や契約者の認証情報を取得していました。
さらに、各国政府はScattered SpiderがAve Maria(別名Warzone RAT)、Raccoon Stealer、Vidar Stealer、Ratty RATなどの入手しやすいマルウェアツールや、データ流出のためのクラウドストレージサービスMegaを利用していることも指摘しました。
「多くの場合、Scattered Spiderの脅威アクターは標的組織のSnowflakeへのアクセスを探し出し、短時間で大量のデータを流出させるために、数千件のクエリを即座に実行します」と勧告には記載されています。
「信頼できる第三者によれば、最近のインシデントでは、Scattered Spiderの脅威アクターが標的組織のネットワークにDragonForceランサムウェアを展開し、VMware Elastic Sky X統合(ESXi)サーバーを暗号化した可能性があります。」
翻訳元: https://thehackernews.com/2025/07/scattered-spider-hacker-arrests-halt.html