現在、大規模なID窃取キャンペーンが進行中で、100社以上の高価値企業におけるOktaシングルサインオン(SSO)アカウントを標的としています。
Silent Pushは、SLSH(Scattered Spider、LAPSUS$、ShinyHuntersによる捕食的な連合)のTTP(戦術・技術・手順)を模倣するインフラ展開の急増を特定しました。これは一般的な自動化されたスプレー&プレイ攻撃ではなく、強固な多要素認証(MFA)構成でさえ回避するよう設計された、人間主導の高インタラクションな音声フィッシング(「ビッシング」)作戦です。
脅威:SLSH「スーパーグループ」
SLSH(Scattered LAPSUS$ Hunters)は、「The Com」エコシステムから出現した攻撃的なサイバー犯罪グループです。Scattered Spiderのソーシャルエンジニアリングの専門性と、LAPSUS$の恐喝モデルを融合させることで、IDプロバイダを介して企業組織を標的にする高度な初期侵入戦略を作り上げました。
主に使用されているインフラは、新しい「ライブ・フィッシング・パネル」です。これにより、人間の攻撃者がログインセッションの途中に入り込み、認証情報とMFAトークンをリアルタイムで傍受して、企業ダッシュボードへの即時かつ永続的なアクセスを獲得できます。
重要標的リスト(過去30日)
以下に貴組織が含まれている場合、Silent Pushは過去1か月以内に、貴ドメインに向けたアクティブな標的化、またはインフラ準備を検知しています。
| 業界セクター | 企業 |
| テクノロジー&ソフトウェア | Atlassian, AppLovin, Canva, Epic Games, Genesys, HubSpot, RingCentral, ZoomInfo, Iron Mountain. |
| フィンテック&決済 | Adyen, Jack Henry, Shift4 Payments, SoFi. |
| バイオテック&製薬 | Alnylam, Amgen, Arvinas, Biogen, Gilead Sciences, Moderna, Neurocrine Biosciences. |
| 金融サービス/銀行 | Apollo Global Mgmt, Blackstone, Cohen & Steers, Frost Bank, goeasy Ltd., Guild Mortgage, Morningstar, RBC, Securian Financial, State Street, TPG Capital. |
| 不動産(REIT&投資) | Avison Young, Brixmor Property, CBRE, Centerspace, Colliers, eXp Realty, Goodman Group, Howard Hughes Corp., Kennedy Wilson, Macerich, Public Storage, Realty Income, Redfin, RE/MAX, Simon Property Group, WeWork. |
| 不動産テック/ソフトウェア | Entrata, RealPage, Zillow. |
| インフラ、エネルギー&公益事業 | Acco Engineered Systems, AECOM, Alliant Energy, American Water, Beach Energy, Cenovus Energy, CMS Energy, DistributionNOW, Halliburton, Invenergy, MasTec, NOV Inc., Oceaneering, Sempra Energy, Sunrun, Talen Energy. |
| ヘルスケア&医療機器(MedTech) | Bayshore Healthcare, Globus Medical, GoodRx, ResMed, Surgery Partners, UCHealth. |
| HRテック&アウトソーシング | Awardco, Cornerstone OnDemand, Gusto, TriNet. |
| 物流&輸送 | Brambles (CHEP), Crowley, Covenant Logistics, Lineage Logistics, Pitney Bowes. |
| 製造&産業 | Ball Corp, BlueLinx, Canfor, Littelfuse, Methode Electronics, Reliance Steel. |
| 小売&消費財 | Amway, Carvana, Do it Best, GameStop, Murphy USA, Sargento Foods, Sonos, Spin Master, Lamb Weston. |
| 保険 | HBF Health, Mercury Insurance, Risk Strategies. |
| 法律サービス | Jones Day, Paul Hastings LLP, Perkins Coie. |
| メディア、教育&ホスピタリティ | Cengage, Choice Hotels, Hearst. |
| 通信 | Telstra. |
標準的なセキュリティ意識向上トレーニングでは、この特定の脅威を阻止できないことが少なくありません。SLSHのオペレーターは非常に説得力が高く、ライブ・フィッシング・ページを被害者固有のログインプロンプトに合わせて同時に操作しながら、ヘルプデスクや従業員に頻繁に電話をかけます。
リスク
- SSOの完全乗っ取り:Oktaセッションが乗っ取られると、攻撃者は環境内のあらゆるアプリに対する「マスターキー」を手にします。
- データ恐喝:LAPSUS$の手口にならい、これらの攻撃者は公開恐喝のための迅速なデータ流出を優先します。
- ラテラルムーブメント(横展開):攻撃者は初期のSSO侵害を足がかりに、社内コミュニケーション(SlackやTeamsなど)へ移動し、より高権限の管理者をソーシャルエンジニアリングで狙います。
- データ暗号化:データ流出後のSLSH攻撃の最終段階として、企業データを暗号化し、復号鍵を得るために身代金の支払いを組織に強要することがよくあります。
防御要件
組織は侵害通知を待つべきではなく、直ちに以下を実施してください:
- 進行中のSLSH攻撃についてカスタマーサポートと従業員に警告する:予期しないビッシング・キャンペーンの成功を防ぐ最善の方法は、自社を標的とした進行中の攻撃について従業員に周知することです。この期間中に不審なメッセージ、電話、メールを受け取った場合は、直ちに管理者およびセキュリティチームへエスカレーションして確認を受けるべきです。
- Oktaのシステムログを監査する:「New Device Enrolled」イベントの直後に、見慣れないIPアドレスからのログインが続いていないかを直ちに調査してください。
- 攻撃前インテリジェンスを展開する:Silent Pushは、ビッシングの電話が始まる前にDNSレベルでこれらの攻撃対象領域を特定します。Silent PushのIndicators of Future Attack™(IOFA™)フィードを利用することで、悪意ある類似ドメインが稼働する前にブロックできます。
FAQ
SLSH脅威グループとは何ですか? SLSHは、Scattered Spider、LAPSUS$、ShinyHuntersによるサイバー犯罪連合で、ビッシング、SSO認証情報の窃取、ランサムウェア・キャンペーンを専門としています。
ライブ・フィッシング・パネルはどのように機能しますか? 攻撃者がMFAトークンとログイン認証情報をリアルタイムで傍受できるようにし、被害者が電話中である間にセキュリティプロンプトを回避できるようにします。
ビッシングからOktaアカウントを守るにはどうすればよいですか? 最も効果的な防御は、フィッシング耐性のあるMFA(FIDO2)を使用し、すべてのITサポートの電話を公式のアウトオブバンド(別経路)チャネルで検証することです。
翻訳元: https://www.silentpush.com/blog/slsh-alert/
