悪名高いサイバー犯罪グループ「Scattered Lapsus$ Hunters」のメンバーが巧妙に仕掛けられた罠にかかり、攻撃サーバーに関する情報を露呈したとResecurityは述べている。
1月上旬、Scattered Lapsus$ Huntersのハッカーは、Telegramチャンネルでサイバーセキュリティ企業Resecurityをハッキングし、大量のデータを盗んだと自慢していた。
しかしハッカーはその後、実際にはResecurityが数か月にわたり準備していた罠に踏み込んでいたことを知り、投稿を削除した。
攻撃者を現行で捕捉するため、同社の研究者は大量の合成データを含むハニーポットを用意し、侵害された認証情報を扱う地下マーケットプレイスに偽アカウントを仕込み、その後はハッカーの動きを観察した。
Resecurityは、ハッカーが偵察のために同社の公開サービスやアプリケーションを探っていることに気づいた後、11月に罠を仕掛けることを決定したという。
同社は、実環境の資産から隔離され厳密に監視されたエミュレート環境にハニーポットを構築し、ダークウェブにハニートラップ用アカウントを設置し、オープンソースから収集したデータでハニーポットを満たして魅力的に見せた。
「合成データとして、私たちは2種類の異なるデータセットを使用しました。消費者になりすました28,000件超のレコードと、支払い取引の190,000件超のレコード、そして生成されたメッセージです。注目すべき点として、いずれの場合も、ダークウェブや地下マーケットプレイスで入手可能な、既知の漏えいデータを利用しました」とResecurityはクリスマスイブに述べた。
このサイバーセキュリティ企業によれば、このデータの組み合わせは金融取引を含む業務アプリケーションを模倣することを意図したもので、2023年の古いログに言及するやり取りによって誘因が強化されていたという。
最初の脅威アクターの活動は11月に観測され、12月中旬に再開した。この際、住宅用IPプロキシに依存する自動化ツールが用いられ、合成データのダンプが試みられた。
「12月12日から12月24日の間に、脅威アクターは合成データをダンプしようとして188,000回超のリクエストを行いました。この期間、Resecurityチームは活動を記録し、関係する法執行当局およびISPと連携して、その情報を共有しました」とResecurityは述べている。
ハッカーの監視
ハッカーの行動を綿密に観察することで、このサイバーセキュリティ企業は彼らの戦術・技術・手順(TTP)に関する情報を収集し、プロキシ接続の失敗後にサーバーのIPアドレス(エジプトの2つを含む)を特定した。
Resecurityが罠の詳細を説明するブログを公開してから1週間後、Scattered Lapsus$ HuntersはTelegramで、同社に侵入して従業員データ、チャット、ログ、顧客情報を盗んだと発表した。
ハッキンググループは、Resecurityが自分たちを「ソーシャルエンジニアリング」しようとした試みを把握しており、組織を「完全に掌握した」と主張した。実際には、その逆だった。
「脅威アクターが共有したスクリーンショットは、『[honeytrap].b.idp.resecurity.com』(ダークウェブ由来の侵害データでエミュレートされたシステムであり、実在するResecurityの顧客とは一切関係がない)およびMattermostアプリケーションに関するもので、これはこの目的のために、2025年11月頃にハニートラップ用アカウント『Mark Kelly』向けにプロビジョニングされたものです」とResecurityは1月3日の更新で記している。
同社はまた、ハッカーの行動を観察して得られた利用可能なネットワークインテリジェンスとタイムスタンプが、法執行機関によって脅威アクターに関する召喚状請求を発行するために使用されたとも述べている。
攻撃者の特定に加え、研究者はGmailアカウントを米国ベースの電話番号およびYahooアカウントに結び付け、関連する法執行機関とその情報を共有した。
翻訳元: https://www.securityweek.com/researchers-trap-scattered-lapsus-hunters-in-honeypot/
