研究者らは、ソーシャルエンジニアリングを用いて被害者へのアクセスを得ようとする複数のクラスターを追跡している。
研究者らは、最近明らかになったShinyHuntersに関連する恐喝キャンペーンが、同グループが用いる戦術のエスカレーションを示していると警告している。
ShinyHuntersは先月末、一連のボイスフィッシング攻撃の犯行声明を出し 、その結果として5つの組織に対する恐喝要求につながったとした。
Google Threat Intelligence Groupのインシデント対応部門であるMandiantによると、ボイスフィッシングと被害者ブランドを装った認証情報収集サイトを活用し、シングルサインオンの認証情報と多要素認証コードを入手することで企業環境へのアクセスを得ようとする、ShinyHuntersの名を冠したキャンペーンに関連する複数のグループが存在するという。Mandiantによれば、 これはGoogle Threat Intelligence Groupのインシデント対応部門である。
アクセスを得た後、脅威グループはクラウドベースのSaaS(ソフトウェア・アズ・ア・サービス)アプリケーションを標的にし、機密データやその他の社内文書を盗み出して、将来の恐喝キャンペーンに利用する。
GTIGの研究者らは、これらの脅威グループをUNC6661、UNC6671、およびUNC6240として追跡している。
1月中旬以降、UNC6661のハッカーはIT担当者を装って被害組織の従業員に電話をかけた。ハッカーは、会社が多要素認証の設定を更新していると虚偽の説明をし、従業員をブランドを装った認証情報収集サイトへ誘導した。これにより、そのサイトはMFAコードとシングルサインオンの認証情報を取得できた。
Mandiantは、特定のケースではハッカーがOkta顧客に属するアカウントへのアクセスを得たことを確認した。この活動は、フィッシングキットを用いたキャンペーンに関するOktaの1月のブログ投稿でも言及されていた。
交渉の一部として共通のToxアカウントが使用されていたことなど、複数の重複する要素に基づき、研究者らはその後の恐喝活動をUNC6240に関連付けた。恐喝メールには盗まれた内容の一部が記され、72時間以内の支払いが要求されていた。
研究者らは、1月下旬に新たなデータ漏えいサイトが投稿され、被害者とされる組織に関する情報が掲載されていることを確認した。既報のとおり、セキュリティ研究者のAlon GalはCybersecurity Diveに対し、5つの組織に対するハッキングが主張されていると述べた。
UNC6671に関連するハッカーも、1月上旬以降、IT担当者になりすます同様の攻撃を実施している。認証情報収集に用いられたドメインはUNC6661が使用したものと同じ構造だったが、別のサービスを通じて登録されていた。
翻訳元: https://www.cybersecuritydive.com/news/shinyhunters-tactics-extortion-okta-environ/811112/
