Mandiantは、ShinyHuntersブランドの恐喝攻撃が拡大・激化しており、クラウド環境を侵害するために効果的なソーシャルエンジニアリング手法に依存していると警告している。
この警告は、ShinyHuntersグループがAtlassian、Adyen、Canva、Epic Games、HubSpot、Moderna、ZoomInfo、GameStop、WeWork、Halliburton、Sonos、Telstraなど、複数のセクターにまたがる100以上の組織を標的にするためのインフラを構築したとの報道から、わずか数日後に出された。
既知の恐喝グループであるShinyHuntersは、これらの企業を標的に偽ドメインを登録し、認証情報を窃取するための専用フィッシングキットを使用している様子が確認されている。
ShinyHuntersに関連するアクターが、ボイスフィッシング(vishing)を用いてシングルサインオン(SSO)認証を狙い、企業のクラウドベースのソフトウェア・アズ・ア・サービス(SaaS)環境を侵害していることが確認されており、Mandiantのアラートはこの観測を裏付けている。
「これらのキャンペーンは、進化したボイスフィッシング(vishing)と被害者ブランドを装った認証情報窃取を活用し、シングルサインオン(SSO)認証情報の侵害と、被害者の多要素認証(MFA)ソリューションへの不正デバイス登録に成功している」と、Google傘下のサイバーセキュリティ企業は述べている。
Oktaは最近、ハッカーが認証情報を傍受し、被害者をだましてMFA回避に加担させ、被害者のブラウザ内の認証フローをリアルタイムで制御するスクリプトを展開する、といった攻撃について警告した。
Mandiantによれば、侵入が検知された場合、組織は攻撃者のアクセスを遮断し、さらなるデータ流出を防ぐため、迅速な封じ込めを最優先すべきだという。
「これらのキャンペーンはマルウェアではなく有効な認証情報に依存しているため、封じ込めではセッショントークンの失効と、IDおよびアクセス管理の操作の制限を優先しなければならない」と同社は述べている。
組織への助言
組織には、侵害されたアカウントの特定と無効化、アクティブなセッショントークンおよびOAuth認可の取り消し、公開のセルフサービス型パスワードリセットポータルの無効化または厳格な制限、MFA登録の一時的な無効化が推奨される。
さらに、VPN、仮想デスクトップインフラ(VDI)および同様のリモートアクセスポイントを制限または一時的に無効化し、IDプロバイダーおよびSaaSアプリケーションへのアクセスを制限し、アカウント関連の依頼に対して手動の高保証な検証プロトコルを採用すべきだとしている。
「適切な場合、組織は初期の封じ込め段階において高警戒を維持するため、エンドユーザー、人事(HR)パートナー、その他の事業部門とも連携して周知すべきである。疑わしい活動は常に社内のITおよびセキュリティ部門に報告し、追加調査を行うこと」とMandiantは述べている。
強化された検証プロセスには、ライブのビデオ通話、ユーザーの上長による帯域外(out-of-band)承認、ユーザーの既知の正規番号への電話といった高保証の経路を含めるべきだ。
ヘルプデスク担当者は、受電時にアクセスや情報を提供してはならず、アクセス要求の明確な検証のために、会社が指定するアカウントマネージャーへ独自に連絡を取るべきである。
また組織は、vishingやフィッシングの試みを見分ける方法、特に営業時間外におけるパスワード変更要求への注意、パスワードを共有しないことについて、ユーザーを教育すべきである。
「組織は、あらゆる種類のIDを保護するために多層的な一連の統制を実装すべきである。クラウドIDプロバイダー(IdP)、クラウドコンソール、SaaSアプリケーション、文書およびコードのリポジトリへのアクセスは制限されるべきであり、これらのプラットフォームはしばしば権限昇格、データアクセス、長期的な永続化のためのコントロールプレーンとなる」とMandiantは述べている。
翻訳元: https://www.securityweek.com/shinyhunters-branded-extortion-activity-expands-escalates/
