従業員を音声フィッシング(ボイスフィッシング)キャンペーンに引っかけようとする試みが現在、活発かつ継続的に増加しているとセキュリティ専門家は警告しており、企業の本人確認プロセスを強化するよう助言している。
これらのキャンペーンは、しばしばShinyHuntersのサイバー犯罪集団によるものとされ、一部の多要素認証(MFA)防御を回避し、犯罪者が組織のSaaS(Software-as-a-Service)アプリケーションを荒らし回ることを可能にしている。
すでに数十の組織が標的となっており、攻撃者はしばしば組織のOktaまたはMicrosoft Entra ID(旧Azure Active Directory)のアイデンティティ基盤へのアクセスを狙っている。
攻撃者の繰り返しの目的は、組織のシングルサインオン(SSO)ポータルへのアクセスを獲得し、そこから行けるところまで進んだうえで、盗んだデータを身代金目的で人質に取ることだと、Google CloudのMandiantインシデント対応グループは述べた。被害者は、Salesforce、Google Workspace、DocuSign、Atlassian、Slack、OneDrive、SharePointといったシステムに保存されていた機微データを失っている。
音声フィッシングを意味する「ビッシング(vishing)」として知られるソーシャルエンジニアリング手法を用い、攻撃者は1月上旬以降、標的に電話をかけ、しばしばITチームの一員を装っている。被害者を、パスワードと多要素認証の資格情報を盗むよう設計された、正規に見えるURLのフィッシングサイトへ誘導する(参照:ソーシャルエンジニアリングのハッカーがOktaのシングルサインオンを標的に)。
使用されている最新の戦術・技術・手順(TTP)に基づき、Mandiantのガイダンスは、すべての組織に対し、MFA登録および変更を取り巻くセキュリティを強化し、詳細なログを維持して積極的に監視し、ビッシング攻撃の成功兆候を迅速に検知することを推奨している。同グループは、攻撃の検知と脅威ハンティングに役立つ侵害指標(IoC)も公開した。
Oktaは、機能が豊富な最新世代のフィッシングツールキットによって促進されているこれらの攻撃の急増について、顧客に通知した(参照:Okta顧客を狙う音声フィッシング:ShinyHuntersが犯行を主張)。
Oktaによれば、攻撃者は事前に下調べをしているようで、標的がどのアイデンティティアプリを使用しているかを把握し、正規のITヘルプデスクの電話番号をスプーフィングしている。成功した攻撃では、「脅威アクターが被害者を口頭で説得し、[companyname]internal.comのようなウェブサイトへアクセスさせ、被害者が使い慣れているものを模したログインページをホストしていた」と、Google CloudのMandiantのCTOであるCharles CarmakalはLinkedInで述べた。
「その後、脅威アクターは認証プロセスを案内し、資格情報とMFAコードを取得し、それを用いて企業のSSOポータルにログインした」と彼は述べた。
サイバーセキュリティ企業SophosはInformation Security Media Groupに対し、攻撃者は組織を標的にする前にスプーフィング用ドメインを登録しているようで、同社はそのようなドメインが150件登録されている兆候を見つけたと述べた。脅威インテリジェンス企業Silent Pushは先週、対象ドメインに対して「アクティブな標的化またはインフラ準備を検知した」100の組織を列挙した。
即効性のある解決策はない
防御側にとっての課題の一つは、ローテクなだましには簡単なパッチが存在しないことだ。
「この活動は、ベンダー製品やインフラにおけるセキュリティ脆弱性の結果ではない」とMandiantは述べた。「ソーシャルエンジニアリングの有効性を改めて浮き彫りにしており、可能な限りフィッシング耐性のあるMFAへ移行することの重要性を強調している。」
フィッシング耐性のあるMFAには、FIDO標準に準拠した物理的なセキュリティキーや、パスキーとして知られるデバイスレベルの認証が含まれる。
なりすましがより困難になるよう本人確認プロセスを見直すことも主要な推奨事項であり、新しいデバイスが登録された後、または登録・有効化・認証に大きな変更があった場合に、不審な挙動の兆候を監視することも推奨される。
潜在的な問題の兆候や受信攻撃の増加が見られた最初の段階で、Mandiantは複数の「迅速な封じ込め手順」を推奨しており、これには、アイデンティティおよびSaaSプラットフォームにおける「すべてのアクティブなセッショントークンとOAuth認可」を一時的に取り消すこと、MFA登録とパスワードリセットを停止すること、仮想プライベートネットワーク(VPN)からのアクセスを制限すること、企業支給かつ管理対象デバイスへのアクセスに限定することなどが含まれ得る。
「脅威活動が高まっている期間中」は、組織は「パスワードおよびMFAのリセットをすべて、厳格な手動の本人確認プロトコルに一時的に迂回させる」べきであり、例えば「ライブのビデオによる確認プロセス」を用いることができると同社は述べた。ヘルプデスク向けの別の推奨事項として、従業員から送られてきたとされるSMSには決して応答せず、受信したサポート電話については、既知の正しい番号で直ちに従業員へ折り返し電話をして本人確認を行うことが挙げられる。
Google Threat Intelligence Groupは、これらの攻撃に結び付く3つの脅威活動クラスターを追跡しており、その一つとしてUNC6240を追跡している。これは昨年、ビッシングを用いてSalesforceのデータを標的にした。Googleは当時、これらの脅威アクターが「一貫して脅威グループShinyHuntersを名乗っていた」と記している。
別のクラスターであるUNC6661は、先月始まったより複雑なビッシング攻撃の多くに関連付けられている。
また、1月上旬からは、UNC6671として追跡される別のクラスターが同様の戦術を用いているが、SharePointとOneDriveから機微データをダウンロードするために「PowerShellも使用した」点が異なる。サイバー犯罪としてのアイデンティティを主張せず、代わりにブランドのない恐喝メールを被害者に送っている。被害者との交渉に用いるToxのエンドツーエンド暗号化インスタントメッセージングシステムにおける脅威活動のID番号は、従来のShinyHuntersのIDとは異なる。Googleによれば、脅威アクターは被害組織の要員に嫌がらせをするなど、「攻撃的な恐喝戦術」も用いた。
一部の被害者が受け取った身代金要求書は、被害者が72時間以内にビットコインで身代金を支払わない場合、「取り返しのつかない結果」、すなわち「従業員、顧客、パートナーに関する機微情報を含む、侵害されたすべてのデータの公開」を含むと脅している。
1月下旬にShinyHuntersの名で立ち上げられたデータ漏えいサイトは、一部の被害者とされる組織を掲載し始め、支払いを迫っている。
専門家によれば、少なくとも一部の被害者は、盗まれたデータを削除し組織名を公表しないという約束と引き換えに、支払いを行ったように見える。脅威インテリジェンス企業Unit 221Bの最高研究責任者Allison Nixonは、被害者に対して決して支払わないよう促し、支払えばサイバー犯罪に直接資金提供することになり、見返りは何も得られないと警告した。
「このグループに身代金を支払うことに利点はない」と彼女はLinkedInへの投稿で述べた。「これは、データを削除しないアクターによる詐欺であり、削除したことを証明できず、実際に嘘をついてきた実績がある。」
翻訳元: https://www.databreachtoday.com/hanging-up-on-shinyhunters-experts-detail-vishing-defenses-a-30657
