GoogleのThreat Intelligence Group(GTIG)とMandiantは、ShinyHunters恐喝グループに関連する攻撃の大幅な増加を確認しました。
これらのサイバー犯罪者は、音声フィッシング(ビッシング)の電話や偽のログインサイトを使い、従業員からシングルサインオン(SSO)の認証情報と多要素認証(MFA)コードを盗みます。
企業ネットワークに侵入すると、SharePoint、Salesforce、DocuSignなどのクラウドアプリから機密データを奪取します。その後、身代金を要求するか、ダークウェブのサイトで情報を漏えいさせます。
これはベンダーソフトウェアの欠陥によるものではありません。純粋なソーシャルエンジニアリングです。GTIGはこれをUNC6661、UNC6671、UNC6240のクラスターとして追跡しています。
攻撃は現在、より多くのクラウドプラットフォームに及んでおり、ShinyHuntersがより大きな見返りのために、より価値の高いデータを狙っていることを示しています。被害者への嫌がらせや企業サイトへのDDoS攻撃といった悪質な手口も追加されています。
脅威アクターはITヘルプデスク担当者になりすまします。従業員に電話をかけ、MFAの更新が必要だと主張し、<company>sso.com や <company>internal.com のような偽サイトへ誘導します。
これらのドメインは、NICENICやTucowsといったレジストラから取得されることが多いです。被害者がSSOログインとMFAコードを入力すると、攻撃者は自分たちのデバイスを登録できるようになります。
UNC6661は2026年1月上旬に攻撃を実行しました。Oktaユーザーを狙い、その後SaaSアプリへと横展開しました。
ログには、PowerShell経由でのSharePointからのダウンロード、不審なIPからのSalesforceログイン、DocuSignのエンベロープ取得が記録されています。
ある事例では、Google WorkspaceでToogleBox Recallを有効化し、Oktaの「新しいMFAデバイス」メールを削除して痕跡を隠しました。
UNC6671は同様のビッシングを使用しましたが、異なるドメインレジストラを利用していました。また、PowerShellでSharePointデータも取得しました。
窃取後、UNC6661は盗んだアカウントから暗号資産企業にフィッシングメールを送信し、その後削除しました。UNC6240は恐喝を担当し、Toxでのチャット、BTCの要求、LimeWireのサンプルを用います。
新しい「SHINYHUNTERS」リークサイトには、[email protected] のようなメールアドレスとともに被害者が掲載されています。
攻撃者はクラウドアプリ内で「poc」「confidential」「salesforce」「vpn」といったキーワードを検索します。SalesforceのPIIやSlackチャットを標的にします。
恐喝メモには72時間の期限、BTCアドレス、および脅迫が記載されています。UNC6671はShinyHuntersのブランド名を使わないものの、スタッフへの嫌がらせを行います。
IPはMullvad、OxylabsなどのVPNやプロキシに結び付いています。GoogleはフィッシングドメインをChrome Safe Browsingに追加しました。
FIDO2キーやパスキーなど、フィッシング耐性のあるMFAへ切り替えてください。SMSやプッシュ通知よりも有効です。
匿名化されたIPからの管理者ロール変更、PowerShell経由のSharePoint一括ダウンロード、ToogleBoxの認証についてOktaを監視してください。
翻訳元: https://cyberpress.org/google-flags-shinyhunters-expansion/