脅威ハンターや研究者は、シングルサインオン(SSO)ツールを狙う音声フィッシング攻撃の波を封じ込めようと奔走しており、すでにデータ窃取や恐喝の試みにつながっている。複数のサイバー犯罪グループが音声通話と高度なフィッシングキットを組み合わせ、被害者をだましてアクセス権を渡させている。中にはShinyHuntersを名乗るグループもあり、疑われる標的を公に名指しし、盗まれたデータのサンプルを投稿している。
これらの攻撃は、ShinyHuntersに帰属するとされる過去のキャンペーンと共通する特徴を持つ。ShinyHuntersは第三者ベンダーを悪用して初期アクセスを獲得し、複数企業のネットワークに侵入してきた。昨秋に700を超えるSalesforce顧客環境に影響を与えた一連の攻撃もその一例だ。
「Mandiantは、進化した音声フィッシング手法を用いて被害組織のSSO認証情報の侵害に成功し、脅威アクターが制御するデバイスを被害者の多要素認証ソリューションに登録する、新たな進行中の“ShinyHunters”ブランドのキャンペーンを追跡している」と、Mandiant Consultingの最高技術責任者(CTO)であるチャールズ・カーマカル氏はCyberScoopへのメールで述べた。
「これは現在進行形のアクティブなキャンペーンだ」とカーマカル氏は付け加えた。「初期アクセスを得た後、これらのアクターはSaaS環境へと横展開し、機微データを持ち出す。ShinyHuntersを名乗るアクターが、一部の被害組織に対して恐喝要求を持ちかけている。」
サイバー犯罪者は、標的企業が使用する正規のシングルサインオンポータルを模倣したカスタムドメインを登録し、被害者のブラウザに表示されるページを遠隔で制御しながら被害者に電話をかける、特注の音声フィッシングキットを展開している。これにより攻撃者は、口頭での誘導と多要素認証の要求をリアルタイムで同期させ、被害者が促されるままに承認したり必要なコードを入力したりする可能性を高められる。
このキャンペーンで標的となっているSSOプロバイダーの一つであるOktaは木曜日、今回のキャンペーンなどで観測されたフィッシングキットに関する脅威インテリジェンスを公開した。ShinyHuntersと連携しているように見える攻撃者は、これらのフィッシングキットの一つを使用した特定の初期アクセスブローカーに代わって、標的組織を恐喝しようとしている。
Okta Threat Intelligenceのバイスプレジデントであるブレット・ウィンターフォード氏は、研究者が、IDプロバイダーの認証フローをリアルタイムで模倣できる能力を示す少なくとも2種類のフィッシングキットを観測したと述べた。
「これにより、ユーザーに認証情報の共有や多要素認証チャレンジの承認を求めるための口実が、より説得力のあるものになる」と同氏はCyberScoopに語った。
「Okta Threat Intelligenceは、音声フィッシング運用者のニーズに合わせて開発された複数のフィッシングキットを観測しており、それぞれにGoogle、Microsoft、Oktaのサインインフロー、さらに暗号資産プロバイダーをなりすますための専用パネルが備わっている」とウィンターフォード氏は付け加えた。
Microsoftの広報担当者は、同社としてこのキャンペーンについて共有できることはないと述べた。一方、Googleの広報担当者は「現時点では、Google自体またはその製品がこのキャンペーンの影響を受けている兆候はない」と述べた。
セキュリティ専門家は、これらの攻撃はSSOベンダーの製品やインフラの脆弱性を突くものではなく、アイデンティティおよびアクセス管理における根強い弱点を突いていると指摘した。標的となった被害者は再び、攻撃者に認証情報を共有するようだまされている。
Halcyonのランサムウェア研究センターのシニア・バイスプレジデントであるシンシア・カイザー氏は、これらのフィッシングキットにより、深い技術スキルのないサイバー犯罪者でもツールを購入し、人やプロセスを狙うことに集中できるようになると述べた。
「こうしたキャンペーンは頻繁に起きるが、今回の違いは、直近のキャンペーンでの成功率がやや高い点だ。おそらく、内容の信憑性が高いことと、単なるフィッシングではなく音声フィッシングを使っていることが理由だろう」と彼女は述べた。
「電話がかかってきて、個別にパーソナライズされ、しかもリアルタイムで変化する――それは信じられそうに感じる。人々が必ずしも警戒を高めていない、別の要素だ。」
影響範囲の調査は継続中
このキャンペーンによって影響を受けた組織の数は不明だ。現在はダウンしているShinyHuntersブランドのデータ漏えいサイトには以前、少なくとも3つの被害者が掲載されており、そのうち2社は最近の攻撃の影響を受けたことを公に認めている。
SoundCloudは、ユーザーベースの約20%に当たる約3,600万人分の個人を特定し得るデータの一部が、12月中旬に最初に発見した攻撃によって侵害されたと述べた。同社は機微データは露出していないと主張し、攻撃者の名前も挙げなかったが、ユーザー、従業員、パートナーが脅迫メールの洪水に見舞われていると述べた。
「当社組織から取得されたとされるデータが、脅威アクターグループによってオンライン上に公開されたことを認識している」と、SoundCloudのコミュニケーション担当シニアディレクターであるサデ・アヨデレ氏はメールで述べた。「当社のセキュリティチームは、主要な第三者サイバーセキュリティ専門家の支援を受けながら、この主張と公開されたデータを積極的に精査している。」
金融サービス企業のBettermentは、1月9日にソーシャルエンジニアリングを通じて攻撃者が同社の一部システムにアクセスしたと述べた。同社は顧客データが盗まれたものの、アカウントへのアクセスはなく、顧客の認証情報も侵害されていないとした。
攻撃者はまた、Bettermentのシステムへのアクセスを素早く悪用し、一部の顧客に対して不正な暗号資産オファーを送信した。Bettermentはコメント要請に応じなかった。
脅威インテリジェンスによれば、追加の被害者が標的となり、影響を受けた可能性がある。Sophosの研究者は、先月から作成され始めた約150の悪性ドメインのクラスターを追跡しており、その中にはデータ窃取や支払いを要求する身代金メモにつながった音声フィッシングキャンペーンで使用されたものもあると、Sophos Counter Threat Unitの脅威インテリジェンス担当ディレクターであるレイフ・ピリング氏は述べた。
「それらがすべて使用されたことは確認できないが、脅威アクターは標的ごとに特化したドメインを作成し、シングルサインオンのサービスを想起させるテーマにして、Oktaのような認証プロバイダーになりすましている」とピリング氏は述べた。偽ドメインは、教育、不動産、エネルギー、金融サービス、小売の各分野の組織になりすましている。
このキャンペーンの背後にいるグループの一つはShinyHuntersを名乗っているが、研究者はその主張をまだ確認できておらず、特定のグループや人物に正式に攻撃を帰属させてもいない。
「ShinyHuntersは通常、実在の被害者と、使い回しの情報や誇張された主張が混在している」とカイザー氏は述べた。
さらに、一部のサイバー犯罪者が採用または再利用する名前は、関連性を失ってきているとFlashpointのインテリジェンス担当バイスプレジデントであるイアン・グレイ氏は述べた。
サイバー犯罪者やグループは任意のユーザー名を選び、それをデータ漏えいサイトに適用できるが、それだけでは直接的なつながりを証明するものではない。
「ShinyHuntersがこのキャンペーンの信頼性を主張している一方で」とグレイ氏は述べた。「同時に、用いられている戦術・技術・手順(TTP)を精査し、それらが過去のキャンペーンとどう関係するのかを検討することも同様に重要だ。」
翻訳元: https://cyberscoop.com/shinyhunters-voice-phishing-sso-okta-mfa-bypass-data-theft/
