Oktaのセキュリティ研究者は以前、カスタムのフィッシングキットを用いたソーシャルエンジニアリング・キャンペーンを公表していた。
サイバー犯罪グループ「ShinyHunters」は、Oktaのセキュリティ研究者が以前公表した音声フィッシング(ビッシング)キャンペーンに関連する少なくとも5件の攻撃について、自らの関与を主張している。
Oktaは木曜日、カスタムのフィッシングキットを用いたソーシャルエンジニアリング・キャンペーンが、音声フィッシング手法を用いてGoogle、Microsoft、Oktaの環境を標的にしていたと警告した。
そのフィッシングキットは、ユーザー認証情報を傍受し、標的となったユーザーに多要素認証を回避させるよう説得できる能力を備えていた。
セキュリティ研究者のAlon GalはCybersecurity Diveに対し、先週ShinyHuntersから連絡を受け、音声フィッシング・キャンペーンに関連して少なくとも3社から恐喝したと主張されたことを確認した。主張には3つの特定企業が含まれていたが、Cybersecurity Diveは依然として各社に対してその主張の確認を進めている。
最初の接触は、Oktaの公表内容についてBleeping Computerに掲載された記事の後に行われた。その報告では、Oktaのシングルサインオン(SSO)アカウントが標的にされたとされている。
月曜日、Galはこの主張が現在5社に拡大したと述べた。
Sophosの研究者らはCybersecurity Diveに対し、12月に作成され、データ窃取と恐喝要求につながる音声フィッシング・キャンペーンで使用された約150のドメインからなるクラスターを追跡していると語った。
「それらがすべて使用されたことは確認できませんが、脅威アクターは標的ごとに特化したドメインを作成し、シングルサインオン・サービスを想起させるテーマにして、Oktaのような認証プロバイダーになりすましています」と、SophosのCounter Threat Unitで脅威インテリジェンス担当ディレクターを務めるRafe Pilling氏はCybersecurity Diveに語った。
Google Threat Intelligence Groupの研究者らは、この脅威活動を追跡していることを確認した。詳細は共有できなかった。研究者の1人による投稿が当初この活動に言及していたが、その後削除された。
Googleの広報担当者は、Googleおよび同社のいかなる製品もこのソーシャルエンジニアリング・キャンペーンの影響を受けていないと述べた。
Oktaの担当者は、Googleの研究者によるいかなる調査についても、同社として具体的な情報は持ち合わせていないと述べた。また、Googleがこれらの攻撃を調査しているとしても、それはOktaからではなく、侵害を受けた組織からの要請によるものだろうと述べた。
「Okta Threat Intelligenceは、企業が進化するソーシャルエンジニアリング手法から身を守れるよう、脅威に関する調査結果を定期的に共有しています」と、同担当者は声明でCybersecurity Diveに述べた。「Oktaのプラットフォームとサービスは引き続き安全ですが、Oktaはこれらの進化する手法に注意を喚起し、認知向上と、顧客のより強固な防御を支援することを目的としています」
Microsoftの広報担当者は、現時点で共有できることはないが、必要に応じて今後の更新を提供すると述べた。
翻訳元: https://www.cybersecuritydive.com/news/cybercrime-group-voice-phishing-attacks-Okta/810493/
