出典:Fran Rodriguez / Alamy Stock Photo
ShinyHuntersは、恐喝攻撃をさまざまなソフトウェア・アズ・ア・サービス(SaaS)環境へと拡大しており、複数の脅威クラスターがボイスフィッシング(vishing)と認証情報の窃取を用いて標的組織を侵害している。
Mandiantは、昨年のSalesforceインスタンスを標的とした攻撃以降、ShinyHuntersの活動の進化を追跡しており、同攻撃は複数組織の侵害につながった。研究者は、UNC6661、UNC6671、UNC6240として追跡されている複数の脅威クラスターを、この悪名高いサイバー犯罪集団に結び付けた。同集団は、高度なvishingと、被害者ブランドを装った認証情報窃取サイトを用いて企業環境への初期アクセスを獲得しているという。これはGoogle Threat Intelligenceブログの最近の投稿で述べられている。
Mandiantによれば、ShinyHuntersのメンバーはこれらの攻撃を用いてシングルサインオン(SSO)の認証情報と多要素認証(MFA)コードを盗み、それらを組織ネットワークへの侵入口として利用する。侵入後、脅威アクターはSaaSアプリケーションを標的に機微データや社内コミュニケーションを持ち出し、それを恐喝要求の材料として利用する。
ShinyHuntersによるSalesforceへの攻撃はすでに広く文書化されているが、投稿によれば、Mandiantが1月上旬から中旬にかけて追跡した最近の攻撃は、Microsoft 365、SharePoint、Slack、その他の人気SaaSサービスを含む、より広範な標的プラットフォームに及んでいる。
この活動は「標的となるクラウドプラットフォームの数と種類の拡大を示しており、関連する脅威アクターが恐喝作戦のためにより機微なデータを収集できるよう、作戦を変更していることを示唆する」と投稿は述べている。
ShinyHuntersに結び付けられた特定の脅威クラスター
Mandiantが発見した進化する活動のクラスターはShinyHuntersに結び付けられているものの、それぞれに固有の攻撃特性があり、同集団によるSalesforceインスタンスへの侵入という従来の攻撃を超えている。これらの攻撃は、Googleの侵害に加え、Cisco、Adidas、Workdayなど他の組織の侵害も引き起こした。
Mandiantによれば、UNC6661に関連する最近の脅威活動は、1月上旬から中旬にかけて組織に対する一連の攻撃で、ソーシャルエンジニアリングのみを用いた。これらの攻撃は、なりすまし、認証情報の窃取、クラウド環境内でのラテラルムーブメントに依存し、複数のSaaSプラットフォームから機微データを盗み出した。
具体的には、攻撃者は社内IT担当者を装って従業員に電話で連絡し、会社が多要素認証(MFA)設定の更新作業中だと主張した。被害者には、正規のシングルサインオン(SSO)ポータルを模倣するよう設計された、企業ブランドを装った認証情報窃取Webサイトへ誘導した。攻撃者はこれらのサイトを用いて、SSO認証情報とMFAコードの両方を取得した。
認証情報を入手した後、攻撃者は自分たちのデバイスをMFA用に登録し、侵害されたアカウントへの永続的なアクセスを維持できるようにした。いくつかのケースでは、侵害されたアカウントはIDプロバイダーOktaの顧客のものだった。Oktaは12月に、IDプラットフォームおよび暗号資産サービスを標的としたフィッシングおよびvishing攻撃について別途報告している。Oktaはこの活動を複数の脅威クラスターによるものとし、Mandiantは一部の攻撃行動がShinyHuntersと整合すると判断した。
初期アクセスが確立されると、UNC6661は被害者環境内を横展開し、さまざまなSaaSアプリケーションからデータを持ち出した。場合によっては、脅威アクターが特定の種類の機微情報を狙っていたように見え、「confidential」「internal」「proposal」「poc」「vpn」「salesforce」といった検索語に加え、個人を特定できる情報(PII)も用いていた。これは恐喝の試みにおいて最適な交渉材料を得るためと推測される。
ShinyHuntersは(さらに)攻撃的に
UNC6661は、Mandiantが観測した少なくとも1件のケースで侵入後の活動にも関与し、新たに得た侵害済みメールアカウントへのアクセスを利用して、暗号資産関連企業の連絡先に追加のフィッシングメールを送信した。その後、送信済みメールを削除しており、おそらく活動の隠蔽を図ったものとみられる。
別の脅威クラスターであるUNC6240は、交渉にToxのインスタントメッセージングアカウントを使用し、ShinyHunters名義の恐喝メールを送り、盗まれたデータのサンプルのホスティングにLimewireを用いるなど、侵入後の恐喝活動を被害者に対して実行したとMandiantは述べている。
被害者とのメールでは、攻撃者は盗んだとされるデータの内容を列挙し、支払額と送金先のBTCアドレスを指定し、72時間以内に身代金が支払われない場合は分散型サービス拒否(DDoS)攻撃などの結果を招くと脅した。投稿によれば、これらは過去のShinyHuntersの恐喝メールと整合する活動である。また、Limewireにホストしたサンプルによりデータ窃取の証拠も提示した。
ShinyHuntersの別の脅威クラスターであるUNC6671は、IT担当者を装ってvishing作戦を実施し、被害者ブランドを装った認証情報窃取サイトに認証情報とMFA認証コードを入力するよう被害者を誘導した。「認証情報窃取に用いられたドメインはUNC6661と同じ構造を使用していたが、より頻繁に[ドメイン名サービス]Tucowsを通じて登録されていた」とMandiantは述べている。
Mandiantによれば、UNC6671は他の脅威クラスターよりも攻撃的な手口も用いており、「被害者の担当者への嫌がらせ」を含む、ShinyHuntersの典型的な手口を超える戦術も見られたという。投稿では「恐喝手口やドメイン登録事業者の違いは、これら一連の活動に別個の人物が関与している可能性を示唆する」としている。
さらに、少なくとも一部のケースでは、UNC6671はOktaの顧客アカウントへのアクセスを獲得し、PowerShellを使用してSharePointおよびOneDriveから機微データをダウンロードした。
ShinyHuntersの進化は防御策を要求する
Mandiantが検知した最近の活動は、ShinyHuntersがScattered SpiderおよびLapus$と手を組み、Scattered Lapsus$ Huntersとして集団的に活動するようになって以降、そして連邦当局が10月に同集団のSalesforce恐喝サイトを閉鎖したにもかかわらず、ShinyHuntersがSaaS攻撃を進化させ続けていることを示している。
組織が自社環境を保護できるよう、Mandiantは先月、ShinyHunters名義のSaaS窃取に対抗するための包括的かつプロアクティブな強化および検知の推奨事項を公開した。
この投稿には、ShinyHuntersが用いる一般的なフィッシング用ドメインの誘引パターンも含まれており、同集団は正規の企業ポータルになりすますよう設計されたドメインを頻繁に登録するため、防御側が何を探すべきかを知っていれば検知できる。Googleはまた、特定されたすべてのフィッシングドメインをChrome Safe Browsingに追加し、Chromeユーザーを保護している。
同様にOktaも先月、vishing攻撃向けに適応されたカスタムのフィッシングキットを脅威アクターが使用していると警告するブログ投稿を公開した。IDおよびアクセス管理ベンダーであるOktaは、これらのキットが「Google、Microsoft、Okta、およびさまざまな暗号資産プロバイダーを標的とする」攻撃者の増加により使用されていると述べたが、同投稿ではShinyHuntersに活動を帰属させてはいない。こうしたソーシャルエンジニアリング攻撃を軽減するため、Oktaはパスキーなどのフィッシング耐性のある認証の使用に加え、ネットワークゾーンおよびテナントのアクセス制御リストの設定を推奨した。
