恐喝グループ「ShinyHunters」は、Okta、Microsoft、Googleのシングルサインオン(SSO)アカウントを標的とする継続中の音声フィッシング攻撃の波の背後にいると主張しており、脅威アクターが企業のSaaSプラットフォームに侵入して恐喝目的で企業データを盗み出せるようにしているという。
これらの攻撃では、脅威アクターがITサポートになりすまして従業員に電話をかけ、企業のログインポータルを装ったフィッシングサイトに認証情報と多要素認証(MFA)コードを入力させるようだましている。
侵害されると、攻撃者は被害者のSSOアカウントにアクセスできるようになり、そこから他の接続された企業向けアプリケーションやサービスにもアクセスできる可能性がある。
Okta、Microsoft Entra、GoogleのSSOサービスは、企業がサードパーティ製アプリケーションを単一の認証フローに統合できるようにし、従業員が1回のログインでクラウドサービス、社内ツール、業務プラットフォームへアクセスできるようにする。
これらのSSOダッシュボードには通常、接続されているすべてのサービスが一覧表示されるため、侵害されたアカウントは企業システムやデータへの入口となる。
SSO経由で一般的に接続されるプラットフォームには、Salesforce、Microsoft 365、Google Workspace、Dropbox、Adobe、SAP、Slack、Zendesk、Atlassianなど、他にも多数が含まれる。
出典: Microsoft
データ窃取に使われるビッシング攻撃
BleepingComputerが最初に報じたとおり、脅威アクターは従業員に電話をかけてIT担当者を装い、ソーシャルエンジニアリングを用いてフィッシングページにログインさせ、MFAのチャレンジをリアルタイムで完了させることでこれらの攻撃を実行している。
被害者のSSOアカウントへのアクセスを得た後、攻撃者は接続されたアプリケーションの一覧を閲覧し、そのユーザーが利用できるプラットフォームからデータの収集を開始する。
BleepingComputerは、これらの攻撃で標的となった複数の企業が、その後ShinyHunters名義の恐喝要求を受け取っていることを把握しており、同グループが侵入の背後にいたことを示している。
BleepingComputerは今週初めに侵害についてOktaに問い合わせたが、同社はデータ窃取攻撃に関するコメントを控えた。
しかし、Oktaは昨日、これらの音声ベースの攻撃で使用されるフィッシングキットについて説明するレポートを公開しており、その内容はBleepingComputerが得ている情報と一致している。
Oktaによると、フィッシングキットにはWebベースのコントロールパネルが含まれており、攻撃者が電話で会話しながら、フィッシングサイト上で被害者に表示される内容を動的に変更できる。これにより、脅威アクターはログインおよびMFA認証プロセスの各ステップを被害者に誘導できる。
攻撃者が盗んだ認証情報を実際のサービスに入力してMFAを求められた場合、フィッシングサイト上に新しいダイアログボックスをリアルタイムで表示し、プッシュ通知の承認、TOTPコードの入力、その他の認証手順の実行を被害者に指示できる。
出典: Okta
ShinyHuntersが関与を主張
ShinyHuntersは昨夜、攻撃についてのコメントを控えたものの、今朝BleepingComputerに対し、同グループが一部のソーシャルエンジニアリング攻撃に責任があることを確認した。
「我々が攻撃の背後にいることを確認する」とShinyHuntersはBleepingComputerに語った。「現時点では、Salesforceが引き続き我々の主要な関心と標的であり、他は受益者であるという事実以外、これ以上の詳細は共有できない」
同グループはまた、キャンペーンで使用されたフィッシング基盤やドメインに関する詳細など、BleepingComputerの報道の他の側面も確認した。しかし、Oktaが共有したフィッシングキットのコマンド&コントロール(C2)サーバーのスクリーンショットが同グループのプラットフォームのものだという点については異議を唱え、代わりに自分たちのものは社内で構築したと主張した。
ShinyHuntersは、OktaだけでなくMicrosoft EntraおよびGoogleのSSOプラットフォームも標的にしていると主張した。
Microsoftは現時点で共有できる情報はないとし、Googleは同キャンペーンで自社製品が悪用されている証拠はないと述べた。
「現時点では、Google自体またはその製品がこのキャンペーンの影響を受けていることを示す兆候はありません」とGoogleの広報担当者はBleepingComputerに語った。
ShinyHuntersは、大規模なSalesforceのデータ窃取攻撃など、過去の侵害で盗まれたデータを使って従業員を特定し連絡していると主張している。これらのデータには、電話番号、役職、氏名、その他ソーシャルエンジニアリングの電話をより説得力のあるものにするための詳細が含まれる。
昨夜、同グループはTor上のデータリークサイトを再開し、現在はSoundCloud、Betterment、Crunchbaseにおける侵害が掲載されている。
SoundCloudは2025年12月にデータ侵害を以前に公表しており、一方でBettermentは今月、自社のメールプラットフォームが暗号資産詐欺の送信に悪用され、データが盗まれたことを確認した。
これまで侵害を公表していなかったCrunchbaseは本日、企業ネットワークからデータが盗まれたことを確認した。
「Crunchbaseは、脅威アクターが当社の企業ネットワークから特定の文書を持ち出したサイバーセキュリティ事案を検知しました」と同社の広報担当者はBleepingComputerに語った。「この事案によって事業運営が中断したことはありません。事案は封じ込めており、当社システムは安全です」
「事案を検知した時点で、当社はサイバーセキュリティの専門家を起用し、連邦法執行機関に連絡しました。適用される法的要件に従い通知が必要かどうかを判断するため、影響を受けた情報を精査しています」
