最新のインテリジェンスは、再び活発化した勧誘、内部関係者への働きかけ、そして 「ShinySp1d3r」と名付けられたRansomware-as-a-Service(RaaS)フレームワークの開発を伴う、連携した復帰を示している。
しかし専門家は、これは本物の協業というよりも、イメージ構築戦略の一環だとみている。
これらのフォーラムでの会話から、元オペレーターが再結集して構造化されたクラスターを形成し、それぞれがソーシャルエンジニアリング、侵入オペレーション、認証情報ブローカー、データ漏えいの拡散といった異なる機能に特化していることがうかがえる。
アナリストは、組織化が著しく改善していると指摘しており、GainsightやSalesloftを介したサードパーティのSalesforce連携の悪用、ならびにZendeskユーザーを狙ったフィッシングやID侵害インシデントを含む、同グループの過去のキャンペーンから得た教訓が反映されているという。
新たな活動フェーズでは、特権アクセスを提供させるためにアクセスブローカーや企業内部者を勧誘し、集団として意図的にオペレーションをスケールさせていることが示されている。
流出したチャットルーム資料によれば、同グループはエンタープライズ級の認証情報を提供する協力者に対し、コミッション(歩合)ベースの支払いを導入した。
同グループの Initial Access(IA) ルールでは、年商 5億米ドル超の組織を優先し、ロシア、中国、ベラルーシ、北朝鮮、および医療セクターの標的を除外している。
報告されているコミッションの階層には、Active Directory(AD)参加システムで 25% 、Okta、Azure、AWS、またはIAMアクセスで 10% が含まれる。
これらのチャンネルの投稿では、通信事業者、ソフトウェア企業、クラウドホスティングプラットフォーム、そしてBPO環境の従業員に対して直接的な呼びかけが行われている。
メッセージは、過去の内部者露見事例(例:CrowdStrikeの内部者検知インシデント)を誇張、または自業自得だとして引き合いに出し、潜在的な内部者に対して「作戦上の安全性」を保証している。
この取り組みは、恐喝、認証情報取引、データ漏えいオペレーションを、単一の収益化されたエコシステムへ統合しようとしていることを示唆する。
クラウドインフラ、ディレクトリ統合環境、特権アクセスへの継続的な注力により、Scattered Lapsus$ Hunters は2026年に向けて、最も攻撃的で予測不能な脅威コレクティブの一つとして再確立することを固く決意しているように見える。
同グループのやり取りがより騒がしくなり、勧誘がより公然化するにつれて、防御側には、ID監視の強化、内部脅威検知の高度化、そして ShinySp1d3r エコシステムが持続的な世界的脅威へ成熟する前に、特権アクセス管理プロトコルを見直すことが推奨される。
翻訳元: https://cyberpress.org/shinysp1d3r-raas/