デジタルIDを盗み取る大規模なキャンペーンが、100を超える大企業を襲っています。先制的サイバー防衛企業Silent Pushの研究者によると、この活動はShinyHuntersが主導し、同社がSLSHとして追跡するより広範な同盟の一環として、Scattered Lapsus$ Huntersと連携して行われているとのことです。
Silent Pushのブログ投稿によれば、これらのハッカーは自動化ボットだけを使っているのではなく、音声フィッシング(voice phishing)、すなわちビッシングと呼ばれる人手主導の手法を用いています。これは、実在の人物が従業員やヘルプデスクに電話をかけ、ログイン情報を渡すようだまして引き出すものです。
手口の仕組み
このグループは、Live Phishing Panelと呼ばれるツールを使用していると報告されています。私たちが知る多くの企業は、シングルサインオン(SSO)を採用しており、Oktaのような仕組みにより、従業員は1つのパスワードで業務アプリ全体を利用できます。ハッカーは本物とまったく同じに見える偽のログインページを用意します。
被害者が情報を入力すると、攻撃者はその間に入り込み、リアルタイムで監視します。これにより、ユーザーの電話に送られる特別なセキュリティコードさえ盗み取ることができ、標準的なセキュリティを実質的に回避できます。研究者はこれを、犯罪者に社内のあらゆるアプリとデータへのアクセスを与える「万能鍵(skeleton key)」だと表現しました。
攻撃の目的
注目すべきは、これらのハッカーが侵入後に明確な計画を持っている点です。研究者によると、彼らは素早く機密ファイルを盗み出し、企業を脅迫します。企業が支払わない場合、ハッカーはしばしば企業のデータをロックして使用不能にします。さらに調査すると、盗んだアカウントを使ってSlackやTeamsのようなアプリ上で他の従業員にメッセージを送り、同僚になりすましてシステム内でさらに権限を拡大しようとしていることも判明しました。
被害者リストは複数の業界に及び、通信分野のTelstra、Mercury Insurance、さらにCanvaやZoomInfoといったテック企業などの大手も含まれます。過去30日間では、法律事務所や医療提供者も標的にされています。
点と点をつなぐ:最近の漏えい
Silent Pushによるこの警告は、ShinyHuntersのメンバーがすでに自分たちの脅威がどれほど深刻かを示している時期に出されたものです。Hackread.comによる最近の報道では、ShinyHunters派閥が特に活発で、わずか数日前にダークウェブ上で新たなリークサイトを立ち上げたことが示されています。
報道によれば、身代金要求が無視された後、同グループはSoundCloud、Crunchbase、Betterment、Panera Breadといった大手から盗まれたデータの公開をすでに開始しています。数百万件の個人記録を含むこれら最新の漏えいは、研究者がSLSH同盟の中核的な手口だと指摘する「支払うか、漏えいか(pay or leak)」戦略を浮き彫りにしています。
安全を保つためには、こうした偽の電話についてスタッフに注意喚起することが重要であり、ログイン支援を求める不審な依頼は直ちに管理者へ報告すべきです。企業はまた、「New Device Enrolled(新しいデバイスが登録されました)」のアラートの後に、通常とは異なる場所からのログインが続いていないか、セキュリティログを確認する必要があります。これらの偽ドメインを早期にブロックするための早期警戒システムを活用すれば、ハッカーが最初の電話をかける前に阻止できます。
翻訳元: https://hackread.com/shinyhunters-target-firms-bypass-sso-security/
