Resecurityは、Scattered Lapsus$ Huntersによるとされるハッキングは、攻撃者の行動を追跡するために設計された囮環境に限定されていたと述べた。
サイバーセキュリティ企業Resecurityは、Scattered Lapsus$ Hunters(SLH)連合に関連する脅威アクターを意図的にハニーポットへ誘い込んだと述べた。これは、同グループが同社をハッキングし、社内および顧客データを盗み出したと主張したことを受けたものだ。
「アクターが偵察を行っていることを理解した上で、当社チームはハニーポット用アカウントを設定しました」とResecurityはブログ投稿で述べ、脅威アクターによる探りを事前に把握していたことを示した。「その結果、合成データを含むエミュレートされたアプリケーションの一つに、脅威アクターがログインすることに成功しました。」
SLHの「ShinyHunters」を名乗る脅威アクターは当初、スクリーンショットを投稿しResecurityのシステムに侵入したと主張したが、同社がそれはハニーポットだと述べた直後、実際のグループは攻撃との関係がないことを確認した。
「Resecurityのシステムへの完全なアクセスを獲得したことを発表します」と脅威アクターはTelegram投稿で伝えられるところによれば述べた。「数カ月にわたり、REsecurityは私たちや、私たちが知るグループに対してソーシャルエンジニアリングを試みてきました。ShinyHuntersがベトナムの金融システムのデータベースを販売に出した際、彼らのスタッフは買い手を装い、無料サンプルや追加情報を私たちから引き出そうとしました。」
証拠として、脅威アクターはMattermostのコラボレーションインスタンスにおけるResecurity従業員の社内コミュニケーションのスクリーンショットを添付していた。
Resecurityが語る実際に起きたこと
Resecurityによると、攻撃者が主張を公にする前に、同社のセキュリティチームは外部に露出したサービスを標的とする偵察活動を観測していた。これを受け、同社は活動を、社内システムに似せて設計された合成データで満たされたハニーポット環境へ誘導したという。
ハニーポットには、捏造された消費者記録と、現実的に見えるよう構成された模擬決済データが含まれており、Resecurityの本番環境からは完全に隔離されていた。同社は、これにより攻撃者に有意なアクセスを得たと思い込ませつつ、実データを露出させることなく防御側が活動を監視できたとしている。
「合成データとして、私たちは2種類の異なるデータセットを使用しました。消費者になりすました2万8,000件超の記録と、19万件超の決済取引記録、そして生成されたメッセージです」とResecurityは投稿で述べた。「注目すべき点として、いずれのケースでも、ダークウェブや地下マーケットプレイスで入手可能な、既知の漏えいデータ(PIIを含む可能性がある)を利用しており、脅威アクターにとってデータがより現実的に見えるようにしました。」
Resecurityはさらに、攻撃者が長期間にわたり囮環境とやり取りし、自動化されたリクエストを生成したことで、使用ツールや手法に関する洞察が得られたと付け加えた。
実際の侵害を示す証拠は乏しいまま
Resecurityの詳細な説明にもかかわらず、脅威アクターは当初の主張を裏付ける追加の検証可能な証拠を提示していない。スクリーンショットの投稿後、社内システムや実際の顧客データに関する裏付けのある漏えいは確認されていない。複数のサイバーセキュリティ研究者による独立した分析も、本番資産が侵害されていないというResecurityの主張を支持している。
一方で、Resecurity自身の分析では、やり取りのパターンが一般的な脅威アクターの戦術と一致していたという。同社の調査によれば、活動は公開されているシステムの偵察から始まり、ネットワークテレメトリとログデータに基づいて、MITRE ATT&CKのActive Scanning(T1595)やGather Victim Host Information(T1592)といった手法に合致していた。主張の公表後、ShinyHuntersを代表すると名乗る人物が同グループの関与を否定し、Resecurityが疑われる攻撃者に帰属させた活動について、自分たちは責任がないと述べた。
