新たな報告書によると、クラウドシステムを多要素認証(MFA)で保護していなかったため、世界中の数十の組織で、極めて機微な企業情報および顧客情報が脅威アクターに盗まれ、販売に出されたという。
Hudson Rockによれば、「Zestix」(別名「Sentap」)として知られるこのアクターは、人気のクラウドファイル共有サービスであるShareFile、Nextcloud 、OwnCloudの認証情報を含むインフォスティーラーのログを求めてダークウェブを探索していた。
その後、MFAが欠如していたため、これらのアカウントに保存されていたデータへアクセスし、持ち出し、オークションにかけることができたと、同サイバーセキュリティベンダーは述べた。
Hudson Rockは「この調査における重大な発見は、脅威の潜伏期間です。最近感染したマシンから収集された認証情報もある一方で、何年もログの中に放置され、Zestixのようなアクターに悪用されるのを待っていたものもありました」と説明した。
「これは認証情報の衛生管理における広範な失敗を浮き彫りにしています。パスワードはローテーションされず、セッションも無効化されないままで、何年も前の感染が現在の大惨事へと変わってしまったのです。」
インフォスティーラーについて詳しく読む:インフォスティーラーによる認証情報窃取が驚異の800%増
これらの認証情報は、RedLine、Lumma、Vidarなど、複数のインフォスティーラー亜種によって当初取得されたものだった。
Hudson Rockは「組織が[…]MFAを強制していなかったため、攻撃者は正面玄関からそのまま入っていけます。エクスプロイトもクッキーも不要――ただパスワードだけです」と指摘した。
金銭目的のこの脅威アクターは、閉鎖的なロシア語のサイバー犯罪フォーラムでのやり取りに慣れているようで、そこで初期アクセスブローカー(IAB)として振る舞っている。しかし報告書は、Sentapというペルソナがイラン国籍者とも関連付けられており、Funksecサイバー犯罪グループとも関係していると主張した。
被害組織の一覧
報告書で名指しされ、Zestixに付け込まれた組織には次が含まれる:
- イベリア航空:技術安全および機材(フリート)データ77GBが盗まれた
- メルセデス・ベンツUSAの顧問弁護士を務める法律事務所Burris & Macomber:顧客データ、企業機密、訴訟戦略に関する情報など18GB超が流出した
- ブラジルの企業Maida Health:ブラジル軍警察に関する医療記録2TB超が盗まれた
- トルコの防衛関連メーカーIntecro Robotics:軍事関連の知的財産(IP)11GB超が盗まれた
XcapeのJohn Carberryは「Zestixという脅威アクターの台頭は、2026年に向けて暗い見通しを示しています。高度なゼロデイエクスプロイトを必要とせずに、大企業の侵害が成功しているのです」と論じた。
「3年前のパスワードで、航空機整備データ77GBを持ち出せてしまう。これは『ハッキングされた』セキュリティではなく、『無視された』セキュリティです。」
画像クレジット: Fasttailwind / Shutterstock.com
翻訳元: https://www.infosecurity-magazine.com/news/mfa-failure-infostealer-breach-50/
