米国、オーストラリア、カナダのサイバーセキュリティ機関は火曜日、金銭目的のハッキンググループであるScattered Spiderによる攻撃に関連する最新のTTP(戦術・技術・手順)に関する情報を共有するため、共同勧告を更新しました。
データの暗号化や流出を行うことで知られるScattered Spider(別名:Muddled Libra、Scatter Swine、Starfraud、UNC3944)は、最近、英国の小売業者から米国の小売業者、さらに保険業界や航空業界へと急速に標的を切り替え、混乱を引き起こしました。
同グループに起因する最近のインシデントでは、より高度なソーシャルエンジニアリングの手法や、DragonForceランサムウェアなどの新しいマルウェアファミリーの展開が明らかになっています。これはCISA、FBI、オーストラリアおよびカナダの政府機関が更新した共同勧告で指摘されています。
GoogleのThreat Intelligence Group(GTIG)の最近の技術レポートと同様に、更新された勧告では、ハッカーがヘルプデスク担当者を標的にして従業員アカウントを乗っ取る手口、RMMツールの利用、VMware ESXiサーバーを暗号化のために標的とする手法が強調されています。
政府機関によると、Scattered Spiderはハッキングフォーラムから流出した認証情報を取得し、組織のSnowflakeへのアクセスを狙ってデータを窃取し、偽のSNSアカウントを使って新規ユーザーアカウントを作成、MEGA[.]NZやAmazon S3へのデータ流出、RattyRATおよびDragonForceランサムウェアの展開などが確認されています。
「組織のSnowflakeへのアクセスが可能になると、グループは数千件のクエリを即座かつ同時に実行し、しばしばDragonforceマルウェアを展開して標的組織のサーバーを暗号化します。膨大なデータ窃取の可能性が、保険から運輸、小売まで複数業界で成功している理由です」とSwimlaneのNick Tausek氏はメールコメントで述べています。
Google Cloudによると、Scattered Spiderの活動は最近減少していますが、同様の攻撃手法が他の金銭目的の脅威アクターによるインシデントでも確認されています。
「英国でScattered Spider(UNC3944)とされるメンバーが最近逮捕されて以降、Mandiant Consultingはこの特定の脅威アクターに直接起因する新たな侵入を確認していません」とMandiant Consulting CTOのCharles Carmakal氏はSecurityWeekに語りました。
広告。スクロールして続きをお読みください。
「UNC6040のような他の脅威アクターが、UNC3944と同様のソーシャルエンジニアリング手法を成功裏に用いているのを積極的に確認しています。一つのグループが一時的に休眠状態でも、他のグループは手を緩めません」とCarmakal氏は述べています。
新たなレポートで、Google Cloudは金銭目的かつ高度な脅威アクターが、データ復旧を防ぐためバックアップシステムを標的にし、巧妙なソーシャルエンジニアリングで認証情報やトークンを盗み、MFA(多要素認証)を回避していることが観測されていると説明しています。
RansomHubランサムウェアを使用したことで知られるUNC2165、Bastaランサムウェアと関連するUNC4393、DarksideやLockbitランサムウェアを使用したUNC2465は、バックアッププラットフォームを標的にし、バックアップのルーチンを削除、データの消去、ユーザー権限の改ざんなどで復旧を妨害していました。
「ITおよびサイバー関連の障害の規模と頻度は増加し続けています。これらのインシデントは、重要なシステムが大規模に影響を受けた場合、連鎖的な影響や復旧の複雑さをもたらす可能性があります」とGoogle CloudはSecurityWeekに語りました。
Google Cloudによれば、弱い認証情報や設定ミスが攻撃者の主な侵入口であり、次いでAPI/UIの侵害が続きます。漏洩した認証情報、リモートコード実行(RCE)、その他のソフトウェア脆弱性も初期アクセスに利用されていました。
「Scattered Spiderのような脅威に対抗するには、防御側は攻撃対象領域を技術的システムだけでなく人間の行動も含めて拡大して捉える必要があります。これらのアクターはソーシャルエンジニアリングと技術的スキルを組み合わせているため、アイデンティティ中心のセキュリティ、多層的な認証、ゼロトラスト原則が、内部環境であっても不可欠です」とCynet Cyops責任者のRonen Ahdut氏は述べています。
「パッチ適用やセグメンテーションといった従来のコントロールも依然重要ですが、レジリエンス(回復力)はますます、人為的な侵入経路を予測し妨害する能力にかかっています。最前線はコードだけでなく、人・プロセス・それらを結びつけるポリシーなのです」とAhdut氏は付け加えました。
関連記事: Scattered Spider、VMware vSphere環境を標的に