Mandiantによると、最近相次いでいるShinyHuntersによるSaaSデータ窃取攻撃の波は、標的型の音声フィッシング(ビッシング)攻撃と、企業ブランドを装ったフィッシングサイトによって助長されており、これらがシングルサインオン(SSO)の認証情報と多要素認証(MFA)コードを盗み取っているという。
BleepingComputerが最初に報じたとおり、脅威アクターは企業のIT部門やヘルプデスク担当者になりすまし、従業員に直接電話をかけて、MFA設定を更新する必要があると主張する。通話中、標的となった従業員は自社のログインポータルに似せたフィッシングサイトへ誘導される。
Oktaによると、これらのサイトは高度なフィッシングキットを使用しており、被害者と電話で話している最中に、脅威アクターが対話型ダイアログを表示できるようになっている。
標的の従業員と話し続けながら、攻撃者は盗んだ認証情報をリアルタイムで中継し、正規のMFAチャレンジを発生させ、プッシュ通知の承認やワンタイムパスコードの入力など、どう対応すべきかを標的に指示する。
これにより攻撃者は盗んだ認証情報で認証に成功し、自分たちのデバイスをMFAに登録できる。
アカウントへのアクセスを得ると、攻撃者は組織のOkta、Microsoft Entra、またはGoogleのSSOダッシュボードにログインする。これは、ユーザーがアクセス権を持つすべてのSaaSアプリケーションを一覧表示する集中型ハブとして機能する。
これらのアプリケーションには、ShinyHuntersの主要な標的であるSalesforceをはじめ、Microsoft 365、SharePoint、DocuSign、Slack、Atlassian、Dropbox、Google Drive、そして他にも多数の社内およびサードパーティのプラットフォームが含まれる。
データ窃取と恐喝に注力する脅威アクターにとって、SSOダッシュボードは企業のクラウドデータへの足がかりとなり、1つの侵害されたアカウントから複数のサービスにアクセスできるようになる。
ShinyHuntersの恐喝グループは、これらの攻撃の背後に自分たちと一部のアフィリエイトがいることをBleepingComputerに確認した。この恐喝グループは、他の脅威アクターもその後、同様の攻撃を実行したとも主張している。
これらの攻撃に関する情報が公開されて間もなく、ShinyHuntersの恐喝ギャングはデータリークサイトを立ち上げ、これらの攻撃に関連するデータの公開を開始した。
本日、Google Threat Intelligence Group/Mandiantはレポートを公開し、この活動をUNC6661、UNC6671、およびUNC6240 (ShinyHunters)として追跡している複数の脅威クラスターにまたがって監視していると述べた。
複数の脅威アクターが攻撃を実行
Mandiantによると、UNC6661は標的の従業員に電話をかける際にIT担当者を装い、SSO認証情報とMFAコードを取得するために企業ブランドを装ったフィッシングドメインへ誘導する。ログイン後、攻撃者はアクセスを維持するために自分たちのMFAデバイスを登録した。
彼らはこのアクセスを利用し、侵害されたSSOセッションで利用可能な権限に基づいてクラウドアプリケーションからデータを盗み出した。Mandiantはこの活動を機会主義的なものとみており、脅威アクターは利用可能なSaaSアプリケーションを手当たり次第に狙っていると考えている。
ただし、ShinyHuntersは過去にBleepingComputerに対し、主な焦点はSalesforceのデータであると述べていた点に留意すべきだ。
出典: Mandiant
Mandiantは、データ窃取攻撃中に作成されたログの例を共有した:
- User-AgentがPowerShellを示し、スクリプトまたはツールがデータのダウンロードに使用されたことを示唆する、ファイルダウンロードを示すMicrosoft 365およびSharePointのイベント。
- 後に脅威アクターが使用していたと特定されたIPアドレスから発生したSalesforceのログイン活動。
- 同じIOCに紐づく大量のドキュメントダウンロードを示すDocuSignの監査ログ。
Okta顧客が関与したある侵害では、攻撃者が「ToogleBox Recall」というGoogle Workspaceアドオンを有効化したとMandiantは述べている。これは、活動を隠すためにメールを検索して削除する目的で使用したツールだという。
「脅威アクターがOkta顧客アカウントへのアクセスを得た少なくとも1件のインシデントで、UNC6661は被害者のGoogle Workspaceアカウントに対してToogleBox Recallアドオンを有効化した。これはメールを検索し、恒久的に削除するよう設計されたツールである」とMandiantは説明している。
「その後、Oktaからの『Security method enrolled(セキュリティ方法が登録されました)』メールを削除した。従業員が自分のアカウントに新しいMFAデバイスが関連付けられたことを特定できないようにするためである可能性が極めて高い。
Mandiantによると、UNC6661の攻撃で使用されたインターネットドメインはNICENICを通じて登録されており、一般的に<companyname>sso.comまたは<companyname>internal.comという形式が用いられていた。
初期侵入とデータ窃取攻撃はUNC6661によるものとされる一方で、Mandiantは、恐喝要求はShinyHunters(別名UNC6240)によって送られ、過去の恐喝の試みにおいて彼らが使用していたToxメッセンジャーIDが含まれていたと述べている。
出典: Mandiant
Mandiantによると、UNC6671として追跡されている別の脅威クラスターも同様のビッシング手法を使用しているが、フィッシングドメインは代わりにTucowsを通じて登録されている。
UNC6661とは異なり、UNC6671の恐喝要求はShinyHunters名義では送られず、交渉には別のTox IDが使用され、企業関係者への嫌がらせを含む強硬な圧力戦術が用いられていた。
Mandiantによると、これらの攻撃で使用されるフィッシングドメインは、企業ポータルになりすますことを目的とした一般的な命名パターンに従っている。
- 企業SSOポータル: <companyname>sso[.]com、my<companyname>sso[.]com、my-<companyname>sso[.]com
- 社内ポータル: <companyname>internal[.]com、www.<companyname>internal[.]com、my<companyname>internal[.]com
- サポート/ヘルプデスク系テーマ: <companyname>support[.]com、ticket-<companyname>[.]support、support-<companyname>[.]com
- アイデンティティプロバイダーのなりすまし: <companyname>okta[.]com、<companyname>azure[.]com、on<companyname>zendesk[.]com
- アクセスポータル: <companyname>access[.]com、www.<companyname>access[.]com、my<companyname>acess[.]com
例えば、matchinternal[.]comは、人気の出会い系サイトであるHinge、Tinder、OkCupid、Matchのデータが流出したMatch Groupの最近の侵害で使用されていた。
Mandiantは、このキャンペーンに関連する多くのIPアドレスが、Mullvad、Oxylabs、NetNut、9Proxy、Infatica、nsocksなどの商用VPNサービスや住宅用プロキシネットワークに属していると指摘している。
Mandiantはまた、防御側はこの種の攻撃を特定するため、次のような振る舞い検知を優先すべきだとも述べている:
- SSOアカウントの侵害に続く、SaaSプラットフォームからの迅速なデータ流出。
- SharePointまたはOneDriveにアクセスするPowerShell User-Agent
- ToogleBox Recallに対する予期しないGoogle Workspace OAuth認可
- MFA変更通知メールの削除
組織がこの種の攻撃から防御できるよう、Mandiantは、ShinyHuntersのビッシング攻撃に対する強化、ログ取得、検知に関する推奨事項を公開した。
このガイダンスは、アイデンティティのワークフローと認証リセットの強化、適切なテレメトリのログ取得、そしてデータ窃取が発生する前にビッシング後の挙動を見つけるための検知を中心に構成されている。
Mandiantはまた、ShinyHuntersの活動を検知するためのGoogle SecOps向けルールも公開している。
