悪名高いScattered Spiderグループは、グループに関与しサイバー攻撃を主導したと疑われる4人が逮捕されたことを受け、動揺しサイバー犯罪活動が停滞しているようです。
逮捕は2025年7月10日に英国で行われ、4人はコンピュータ不正使用法違反の容疑で、2025年4月に発生した3つの英国小売業者へのサイバー攻撃に関連して疑われています。その後、さらなる調査のために保釈されました。
それ以来、The Comに関連するグループをUNC3944として追跡しているサイバーセキュリティ企業Mandiantは、この特定の脅威アクターに直接起因する新たな侵入は観測されていないと述べています。
The Comは、数千人の英語話者が関与する緩やかに組織されたオンライン犯罪ネットワークです。
逮捕された4人について、Mandiant Consulting – Google CloudのCTOであるチャールズ・カーマカル氏はInfosecurityに対し、「彼らはScattered Spiderの侵入に関与している唯一のメンバーではありません。しかし、逮捕によって他のメンバーが動揺しています」とコメントしました。
ランサムウェア対策企業Halcyonのリサーチディレクター、アンソニー・フリード氏も、逮捕以降Scattered Spiderの活動が「沈静化した」と同意しています。
彼は、UNC3944に関連する最後の確認された攻撃は2025年5月で、Darktraceが同グループ特有のソーシャルエンジニアリング手法を観測したと指摘しました。
その後、ハワイアン航空(6月下旬)やWestJet(6月中旬)など複数の航空会社が標的となり、Scattered Spiderの手口と似ていることから関与が疑われていますが、これらの事件はScattered Spiderに確定的には関連付けられていません。
「とはいえ、Scattered Spiderの脅威が減少したわけではなく、逮捕を受けてより慎重になっている可能性が高い」とフリード氏は述べています。
Rapid7の脅威分析シニアディレクター、クリスティアン・ベーク氏はInfosecurityに対し、同社の研究者が過去2週間で攻撃的なフィッシングメールやソーシャルエンジニアリングキャンペーンを観測したと語りました。しかし、これらがScattered Spiderに関連しているかどうかを判断するには時期尚早だとしています。
他の脅威アクターも同様の手口で活動継続
ShinyHunters(UNC6040)など他のThe Com関連グループも、Scattered Spiderと同様のソーシャルエンジニアリング手法、例えばITヘルプデスクを標的に初期アクセスを得る戦術を使用しています。
「あるグループが一時的に休止しても、他のグループは手を緩めません」とカーマカル氏は述べています。
2025年6月、Google Threat Intelligence Group(GTIG)は、ShinyHuntersによるSalesforceインスタンスを標的とした大規模なデータ窃取とその後の恐喝を目的とした専門的なvishingキャンペーンを強調しました。
近月、同グループは電話を使ったソーシャルエンジニアリングでITサポート担当者になりすます手法で繰り返し成功を収めています。
2025年6月に発生したカンタス航空のデータ侵害は、一部のサイバーセキュリティ専門家によりScattered Spiderとの関連が指摘されましたが、実際にはShinyHuntersによるものと見られています。
また、Allianz Lifeが7月に被ったデータ侵害にも同グループが関与しているとされ、保険会社は攻撃者がサードパーティのクラウド型CRMシステムにアクセスし、機密データを持ち出したことを明らかにしました。
CISAがScattered Spider勧告を更新
米国サイバーセキュリティ・インフラセキュリティ庁(CISA)は、7月29日にScattered Spiderに関する勧告を更新しました。
CISAと国際的なパートナーは、サイバー犯罪グループに関連する新たな戦術、技術、手順(TTPs)を特定したと述べています。
これには、より高度なソーシャルエンジニアリング手法が含まれています。Scattered Spiderは当初、広範なフィッシングキャンペーンに依存していましたが、現在はより標的を絞った多層的なスピアフィッシングやvishing(音声フィッシング)作戦を展開しています。
彼らの活動の特徴の一つは、ITヘルプデスクを標的にしたスピアフィッシングコールで、担当者にパスワードのリセットやMFAトークンの転送を促すことです。
また、Scattered Spiderが悪用する新たな正規のリモートアクセスツールとしてTeleport.shやAnyDeskが挙げられています。
さらに、データの持ち出しや標的組織のシステム暗号化に使用された追加のマルウェアやランサムウェアの亜種も特定されました。CISAは、同グループが通常のTTPsとともにDragonForceランサムウェアを展開したことを確認しています。
このランサムウェアの展開により、標的組織のVMware Elastic Sky X統合(ESXi)サーバーが暗号化されます。
2025年初頭には、DragonForce暗号化ツールがMarks & Spencer(英国小売業者)へのサイバー攻撃の一環として使用され、同社の業務やオンライン小売部門に混乱をもたらしました。
CISAはまた、RattyRATという別のマルウェアもハッカーによって使用されていることを特定しました。これは、持続的かつステルスなアクセスや初期偵察のために使われるJavaベースのリモートアクセス型トロイの木馬です。
CISAの最新勧告では、組織に対し、アカウントの不正使用に対する監視強化や、不審な活動や異常な挙動によりサインイン試行が危険と判断された環境内でのリスキーなログインの検出を推奨しています。
翻訳元: https://www.infosecurity-magazine.com/news/cybercriminals-spooked-scattered/