SLSHの戦術を模倣したインフラ展開の急増が確認されている。SLSHは、Scattered Spider、LAPSUS$、ShinyHuntersという3つの主要脅威アクターを結びつけた略奪的な同盟である。
高度なID窃取キャンペーンが出現し、100社を超える高価値企業に対して、特にOktaなどのシングルサインオン(SSO)プラットフォームを標的としている。
自動化されたフィッシングキャンペーンとは異なり、この作戦は人間主導である。音声フィッシング(「ビッシング」)を用いて、強固にされた多要素認証(MFA)システムさえも回避する。
攻撃者は「ライブ・フィッシング・パネル」を用い、アクティブなログインセッション中にオペレーターが認証情報とMFAトークンをリアルタイムで傍受できるようにし、企業環境への即時かつ永続的なアクセスを得る。
SLSH「スーパーグループ」の脅威
Silent Pushは、SLSHのTTP(戦術・技術・手順)を反映したインフラ展開の急増を特定した。
このハイブリッドな手法は、企業のIDプロバイダーを標的とする強力な初期侵入戦略を生み出す。
このグループの高度さは自動化ではなく人間のやり取りにある。攻撃者は、ライブのフィッシングページを同時に操作しながら、ヘルプデスクや従業員に電話をかけ、被害者ごとのログインプロンプトに合わせて手口を適応させる。
SLSHは「The Com」エコシステムから出現し、Scattered Spiderの高度なソーシャルエンジニアリング能力と、LAPSUS$の確立された恐喝手法を組み合わせた。
複数のセクターにわたる組織が、現在進行形で標的化に直面している。Atlassian、Canva、Epic Games、HubSpot、Zoomなどのテクノロジー企業は、Blackstone、RBC、State Streetといった金融機関と並んで、リスクが高まっている。
脅威は医療(Biogen、Moderna)、不動産(Simon Property Group、Zillow)、インフラ分野(AECOM、Halliburton)にも及ぶ。Silent Pushは、過去30日以内にこれらの組織に対するアクティブな標的化、またはインフラ準備を検知した。
従来のセキュリティ意識向上トレーニングでは、この脅威ベクトルに対して不十分である。SLSHのオペレーターは非常に説得力があり、連携も取れており、技術力と精密なソーシャルエンジニアリングを組み合わせている。
SSOアカウントが1つ侵害されるだけで、企業全体のアプリケーション・エコシステムに対する「万能鍵」となる。
攻撃の進行と影響
LAPSUS$の手口にならい、このグループは恐喝目的の迅速なデータ流出を優先する。
最初のSSO侵害後、攻撃者は社内コミュニケーション基盤であるSlackやMicrosoft Teamsへと横展開し、管理者をソーシャルエンジニアリングで誘導して、より高い権限のアクセスを付与させる。
最終的に、重要データを暗号化し、復号鍵と引き換えに身代金を要求することで、窃取と業務妨害を組み合わせる。
標的リストに含まれる組織は、緊急の対策を実施しなければならない。進行中のSLSH活動についてサポート担当者と従業員に警告すること。ビッシングの成功は社会的操作に依存しており、従業員の認知が直接的な対抗策となる。
Oktaおよび他のSSOプロバイダーのログについてフォレンジック監査を実施し、特に「New Device Enrolled」イベントの直後に不審なIPアドレスからログインが発生しているものを重点的に探索すること。これはこの攻撃パターンの特徴である。
ビッシングキャンペーンが開始される前に、攻撃前インテリジェンス能力を展開する。Silent PushのIndicators of Future Attack(IOFA™)フィードはDNSレベルで動作し、インフラが稼働する前に悪意ある類似ドメインを特定してブロックする。
このプロアクティブなアプローチにより、攻撃者がコマンド&コントロール(C2)インフラを確立するのを防ぐ。
組織は侵害通知を待ってから行動すべきではない。予防のための猶予はまだあるが、攻撃が特定の従業員を狙い始めると、その猶予は急速に閉じる。
翻訳元: https://gbhackers.com/shinyhunters-group/
