- SLHがOktaのSSO認証情報を狙ったビッシング攻撃で約100社を標的に
- Live Phishing Panelが認証情報とMFAトークンをリアルタイムで傍受
- 現時点で侵害は確認されていないが、Oktaセッションの乗っ取りは深刻なリスク
悪名高い脅威アクター「Scattered LAPSUS$ Hunters(SLH)」が現在、約100の大企業におけるOktaのシングルサインオン(SSO)認証情報を標的とした大規模なID窃取キャンペーンを展開している。
セキュリティ研究者のSilent Pushは、ハッカーが高度なビッシング(音声フィッシング)キャンペーンを実施していることを突き止めた。目的は企業インフラへのアクセスを獲得し、機密データを持ち出したうえで、被害者から金銭を脅し取ることだという。
研究者によれば、SLHは新たな「Live Phishing Panel」を使用しており、これによりオペレーターは「ログインセッションの途中に入り込み、認証情報とMFAトークンをリアルタイムで傍受できる」という。つまり攻撃者は被害者に電話をかけ、サービスにログインさせる一方で、「中間」に入り込んで通過する秘密情報を盗み取る。
結果は不明
Silent Pushによると、異なる業種の約100組織が標的になっている。全リストはこちらで確認でき、Atlassian、Morningstar、American Water、GameStop、Telstraといった著名企業も含まれている。
ただし、標的にされることと、侵害されることはまったく別の話だ。リストにある企業のいずれかが実際に侵入されたという確認はなく、記事執筆時点でもその証拠はなかった。
Silent PushはThe Registerに対し、潜在的な被害者に関して共有できる「情報はない」と述べており、SLHもまだデータ流出サイトに誰も追加していない。ハッカー側は、標的数が「近い」ことは認めたという。
研究者は、このキャンペーンのリスクは非常に大きいと指摘する。いったんOktaセッションが乗っ取られると、攻撃者は企業環境内のあらゆるアプリに対する「マスターキー」を手にすることになるからだ。これにより、機密データを材料に恐喝したり、横展開したり、必要に応じてデータを暗号化したりできる。
「標準的なセキュリティ意識向上トレーニングでは、この特定の脅威を止められないことが多い。SLHのオペレーターは非常に説得力があり、ライブのフィッシングページを操作して被害者固有のログインプロンプトに合わせながら、ヘルプデスクや従業員に頻繁に電話をかける」と研究者は説明している。
