研究者たちは、今回のキャンペーンにおいてScattered Spiderとサイバー犯罪グループShinyHuntersの協力関係を示す証拠が増えていると指摘しています。
Workdayは、ハッカーが同社のサードパーティベンダーの1社の情報にアクセスできるようになった大規模なソーシャルエンジニアリングキャンペーンの被害に遭ったことを認めました。
ハッカーはITや人事担当者になりすまして、従業員をだまして個人情報やアカウント認証情報を共有させる手口を使っていると、Workdayは金曜日に公開したブログ記事で述べています。
カスタマーサポートシステムへの侵入により、ハッカーはWorkdayの顧客の名前、メールアドレス、電話番号が含まれるサポートチケットにアクセスできるようになり、これらの情報を使ってさらなるソーシャルエンジニアリング攻撃を行う可能性があります。しかし、Workdayは自社サーバーに保存されているデータに侵入者がアクセスした形跡はないとしています。
「すべての証拠から、当社の顧客Workdayデータは引き続き安全であることが示されています」と、広報担当者はCybersecurity Diveにメールで述べました。
Workdayは、人事管理や支払い管理のための主要なAIベースのプラットフォームです。世界中で11,000以上の組織が同社のサービスを利用しており、Fortune 500企業の60%以上も含まれています。
この攻撃は、ShinyHuntersと呼ばれるハッカーグループに関連する一連のソーシャルエンジニアリング侵入事件に続くものです。ShinyHuntersは、The Comとして知られる地下サイバー犯罪集団とも関係があり、The Comは悪名高いハッカーチームScattered Spiderともつながりがあります。Scattered Spiderは、ここ数か月間に小売、保険、航空など複数の業界の企業を標的にしてきました。
ShinyHuntersは、ここ数か月の間にSalesforceインスタンスを標的とした多数の攻撃を仕掛けていると、Googleの研究者たちは述べています。同グループは今月初めにもGoogle自身のSalesforceインスタンスの1つを標的にしました。
Reliaquestは最近、ShinyHuntersとScattered Spiderの協力の可能性を示す証拠を公開しました。その中には、チケットをテーマにしたフィッシングドメインやSalesforceの認証情報を収集するページなどが含まれています。
Workdayは、ベンダーに関する今回のインシデントについて顧客やパートナーに通知し、同様の事態が再発しないよう追加のセキュリティ対策を講じたと述べています。
同社は、パスワードやその他の個人情報を電話で求めることは決してないと強調しました。
翻訳元: https://www.cybersecuritydive.com/news/hackers-target-workday-in-social-engineering-attack/758095/