セキュリティ研究者は、「SLSH」と呼ばれる、Scattered Spider、LAPSUS$、ShinyHuntersによる緩やかな連合の戦術・技術・手順(TTP)を綿密になぞる、新たなフィッシング基盤の急増を確認している。
主な標的はOktaのSSOおよび同様のIDプロバイダーだ。SSOセッションを1つ侵害するだけで、社内アプリやSaaSアプリ数十〜数百へのアクセスを一度に解放できるためである。
SLSH(「Scattered LAPSUS$ Hunters」の略)は、「The Com」エコシステムから派生し、Scattered Spiderのソーシャルエンジニアリング能力と、LAPSUS$流のデータ窃取および恐喝の手口を組み合わせている。
このキャンペーンの中核にあるのは、新しい「ライブ・フィッシング・パネル」で、攻撃者が被害者と正規のIDプロバイダーの間に入り込み、入力されるユーザー名、パスワード、MFAプロンプトを傍受できる。
このライブ・イン・ザ・ミドル手法により、即時のセッション乗っ取りと、企業ダッシュボードや管理コンソールへの持続的なアクセスが可能になる。
Silent Pushによれば、過去30日間で100を超える組織に対するアクティブな標的化、またはインフラ準備が確認されており、テクノロジー、フィンテック、医療、不動産、エネルギーなど幅広い分野に及んでいる。
追加の標的は、インフラおよびエネルギー事業者、医療およびメドテック企業、HRテックプラットフォーム、物流事業者、製造業者、小売業者、保険会社、法律事務所、そしてTelstraのような通信事業者にまで広がっている。
従来のセキュリティ意識向上トレーニングは、SLSHに対してしばしば不十分だ。攻撃者は通話に長け、状況に応じて即座に適応し、各ヘルプデスク担当者や従業員に合わせて台本を調整するからである。
企業は、すでに標的範囲に入っている可能性があると想定し、公式な侵害通知が届く前に行動すべきだ。
第二に、組織はOktaおよび他のSSOログを集中的に精査し、「新しいデバイスが登録された」イベントの直後に、異常または海外のIPアドレスからログインが行われるといったパターンを探すべきである。
最後に、企業のログインポータルを模倣する類似ドメインや新規登録ドメインの監視といった、ドメインレベルのプロアクティブなインテリジェンスは、通話で使用される前にライブ・フィッシング・パネルを遮断するのに役立つ。
これらの対策を組み合わせることで、ShinyHunters およびSLSHの協力者が、SSOログインを足がかりに企業全体の侵害へと発展させる可能性を大幅に低減できる。
翻訳元: https://cyberpress.org/shinyhunters-okta-enterprise-siege/