Hudson Rockによると、複数の大規模データ侵害が、盗まれた認証情報を用いて企業ネットワークを侵害する脅威アクターに関連している。
「Zestix」という呼称で活動しつつ、オンライン上の人物像「Sentap」とも関連付けられているこの脅威アクターは、初期アクセスブローカー(IAB)であり、被害者のデータを持ち出してハッカーフォーラムで販売している様子も確認されている。
Hudson Rockによれば、Zestixは2024年後半〜2025年初頭に独立した存在として浮上したが、その活動は2021年から続くSentapのオペレーションに関連付けることができるという。
両者の人物像はいずれも、情報窃取型マルウェア(インフォスティーラー)感染に起因し、航空宇宙、政府インフラ、法務、ロボティクス分野で事業を行うグローバル企業の侵害につながっている。
Hudson Rockによると、認証情報はRedLine、Lumma、Vidarなどのインフォスティーラーを用いて、被害組織の従業員の私用または業務用デバイスから収集された。
「一部の認証情報は最近感染したマシンから収集されたものだが、他のものは何年もログの中に眠っており、Zestixのようなアクターに悪用されるのを待っていた」とHudson Rockは指摘する。
ShareFile、OwnCloud、Nextcloudといったファイル転送インスタンスへのアクセス権を持つアカウントに多要素認証(MFA)による保護がないことが、Zestix/Sentapが侵害された認証情報を約50回にわたり成功裏に使用できた要因となっている。
持ち出されたデータはその後、閉鎖的なロシア語フォーラムで販売に出されるが、Zestixが侵害されたシステムへのアクセス権を販売している様子も確認されている。
Zestix/Sentapの被害者
Hudson Rockによると、Zestixは信頼性の高い存在としての評判を確立している。これにより、スペインのフラッグキャリアであるイベリア航空から盗まれたとされる77GBのデータに対して15万ドルを要求していた理由が説明できるという。
他の被害者には、Pickett & Associates(エネルギー関連組織にサービスを提供するエンジニアリング企業)、Intecro Robotics(航空宇宙・防衛機器メーカー)、Maida Health(ブラジル軍警察にサービス提供)、CRRC MA(鉄道車両メーカーの子会社)、K3G(ブラジルのISP)、NMCV Business LLC(米国の医療施設向けデータを管理)など、十数社以上が含まれる。
Sentapの呼称の下で、この脅威アクターはより広範な被害者リストを構築したが、Hudson Rockはこれらの侵害をファイル共有サービスやインフォスティーラー感染に結び付けることができなかったとしている。
「特定できた被害者の多くがそれらのサービスに対するインフォスティーラー由来の認証情報を持っていたことから、同様のインフォスティーラー認証情報に起因している可能性はあるが、別の初期アクセス経路による侵入も排除しない」とHudson Rockは述べている。
この脅威アクターは、Pan-Pacific Mechanical(1.04TB)、Bradley R. Tyer & Associates(1.02TB)、The Providence Group(1TB)、オーストラリアのNBN(306GB)、UrbanX.io(275GB)など、他にも数十件に及ぶ大規模侵害を主張している。
インフォスティーラー問題
Hudson Rockによると、ShareFile、OwnCloud、Nextcloudを利用する数千の組織に関する認証情報がインフォスティーラーのログ内で流通しており、Deloitte、Honeywell、KPMG、Samsung、Walmartといった著名企業のものも含まれている。
「これらの組織には感染した従業員やパートナーが存在し、機密性の高いファイルリポジトリへの有効なセッションや認証情報がZestixのようなアクターに露出している」と同サイバーセキュリティ企業は指摘する。
しかしこの問題は長年存在しており、容易に解決できる見込みは低い。インフォスティーラー産業は現代のサイバー犯罪を加速させ、データ侵害、なりすまし、詐欺の出発点として機能している。
「スティーラーは、マルウェア・アズ・ア・サービス(MaaS)として提供されるサイバー犯罪のコモディティ化の一例だ」と、SpyCloud Labsのセキュリティリサーチ担当SVPであるTrevor Hilligossは、 SecurityWeekとの対談で述べた。
「もはや、規模をもって展開されたときに非常に効果的なツールへアクセスするために、熟練の開発者やハッカーである必要はない。誰でもMaaSマーケットプレイスから既製のマルウェアを購入したり、利用を依頼したりできる」とHilligossは付け加えた。
インフォスティーラーの成功は、速度と秘匿性に支えられている。数分で機密情報を持ち出し、その後すぐに感染デバイスから削除されることも多く、不正行為の痕跡は最小限にとどまる。
そして10年以上にわたり、盗まれた認証情報は大規模な攻撃キャンペーンを支えてきた。これにはクレデンシャル・スタッフィング攻撃も含まれ、依然として問題となっている。
翻訳元: https://www.securityweek.com/dozens-of-major-data-breaches-linked-to-single-threat-actor/
