セキュリティ企業Silent Pushによると、ShinyHuntersグループに関連する最近のサイバー犯罪キャンペーンで、多くの大手組織が標的にされた可能性がある。
過去30日間で、Silent Pushは、脅威アクターがソフトウェア/テクノロジー、金融、バイオテック/製薬、金融サービス、不動産、エネルギー/公益事業、ヘルスケア、物流/輸送、製造、小売、保険などの分野における少なくとも100の組織に対する攻撃を準備または実行していることを示唆するドメインを特定した。
Silent Pushは、Atlassian、Adyen、Canva、Epic Games、HubSpot、Moderna、ZoomInfo、GameStop、WeWork、Halliburton、Sonos、Telstraといった大手企業を挙げている。
ハッカーはこれらの企業を狙った偽ドメインを設定しているが、実際に攻撃が行われたのか、またシステムへのアクセス獲得の試みが成功したのかは不明だ。
このキャンペーンでは、サイバー犯罪者は音声フィッシング(ビッシング)を用い、Oktaやその他のIDプラットフォームに関連付けられたシングルサインオン(SSO)アカウントを標的にした。
Oktaなどが観測した攻撃では、脅威アクターが、認証情報を傍受し、被害者をだまして多要素認証の回避を手助けさせることを可能にする専用のフィッシングキットを使用した。
「これらの機能の中で最も重要なのは、標的ユーザーのブラウザ内で認証フローをリアルタイムに制御できるクライアント側スクリプトであり、脅威アクターが口頭で指示を出したり、標的ユーザーからの口頭の反応に応じたりする間に機能します」と、Oktaは説明した。
さらに、「このリアルタイムのセッション・オーケストレーションこそが、脅威アクターの標的にプッシュ通知の承認、ワンタイムパスコード(OTP)の送信、またはMFA制御を回避するために脅威アクターが必要とするその他の行動を取らせるのに必要なもっともらしさを提供するのです」と付け加えた。
ShinyHuntersは攻撃の犯行声明を出している表向きの存在だが、Silent PushはTTPに基づき、このキャンペーンを、昨年Lapsus$、Scattered Spider、ShinyHuntersのメンバーによって結成されたグループであるScattered LAPSUS$ Huntersによるものだと帰属させている。
ShinyHuntersのリークサイトでは、サイバー犯罪者が最近、Betterment、Crunchbase、SoundCloudなどの企業を掲載しており、いずれもデータ侵害を受けたことを確認している。
脅威インテリジェンス企業Hudson RockのCTOであるAlon Galは、ShinyHuntersから、これらがOkta SSOのビッシング・キャンペーンの被害者であると知った。ハッカーは、これらの企業から盗まれたとされる数百万件のレコードを公開している。
翻訳元: https://www.securityweek.com/over-100-organizations-targeted-in-shinyhunters-phishing-campaign/
