大規模な身元盗用キャンペーンが現在進行中であり、Okta Single Sign-On(SSO)およびその他のSSO プラットフォームアカウントを100以上の高価値企業全体で標的にしています。
Silent Pushは、SLSH(Scattered Spider、LAPSUS$、ShinyHuntersの略奪的同盟)のTTP(戦術、技術、手順)を反映するインフラストラクチャ展開の急増を特定しました。これは標準的な自動スプレーアンドプレイ攻撃ではなく、人間が主導する高インタラクション音声フィッシング(「vishing」)操作であり、強化されたマルチファクタ認証(MFA)設定さえもバイパスするように設計されています。
脅威:SLSH「スーパーグループ」
SLSH(Scattered LAPSUS$ Hunters)は、「The Com」エコシステムから出現した積極的なサイバー犯罪グループです。Scattered Spiderの社会工学的専門知識をLAPSUS$の恐喝モデルとマージすることにより、彼らはIDプロバイダーを通じてエンタープライズ組織を標的にする洗練された初期アクセス戦略を作成しました。
使用されている主要なインフラストラクチャは、新しい「ライブフィッシングパネル」です。これにより、人間の攻撃者がログインセッションの中間に座り、リアルタイムで認証情報とMFAトークンをインターセプトして、企業ダッシュボードへの即座で持続的なアクセスを得ることができます。
重大な目標リスト(過去30日間)
組織が以下にリストされている場合、Silent Pushは過去1ヶ月以内にあなたのドメインに向けられた積極的なターゲティングまたはインフラストラクチャの準備を検出しています。
| 業界セクター | 企業 |
| テクノロジーとソフトウェア | Atlassian、AppLovin、Canva、Epic Games、Genesys、HubSpot、RingCentral、ZoomInfo、Iron Mountain。 |
| フィンテックと支払い | Adyen、Jack Henry、Shift4 Payments、SoFi。 |
| バイオテック&製薬 | Alnylam、Amgen、Arvinas、Biogen、Gilead Sciences、Moderna、Neurocrine Biosciences。 |
| 金融サービス/銀行 | Apollo Global Mgmt、Blackstone、Cohen & Steers、Frost Bank、goeasy Ltd.、Guild Mortgage、Morningstar、RBC、Securian Financial、State Street、TPG Capital。 |
| 不動産(REIT&投資) | Avison Young、Brixmor Property、CBRE、Centerspace、Colliers、eXp Realty、Goodman Group、Howard Hughes Corp.、Kennedy Wilson、Macerich、Public Storage、Realty Income、Redfin、RE/MAX、Simon Property Group、WeWork。 |
| 不動産テック/ソフトウェア | Entrata、RealPage、Zillow。 |
| インフラストラクチャ、エネルギー&ユーティリティ | Acco Engineered Systems、AECOM、Alliant Energy、American Water、Beach Energy、Cenovus Energy、CMS Energy、DistributionNOW、Halliburton、Invenergy、MasTec、NOV Inc.、Oceaneering、Sempra Energy、Sunrun、Talen Energy。 |
| ヘルスケア&メディカルテック | Bayshore Healthcare、Globus Medical、GoodRx、ResMed、Surgery Partners、UCHealth。 |
| HR テック&アウトソーシング | Awardco、Cornerstone OnDemand、Gusto、TriNet。 |
| ロジスティクスと輸送 | Brambles(CHEP)、Crowley、Covenant Logistics、Lineage Logistics。 |
| 製造業と産業 | Ball Corp、BlueLinx、Canfor、Littelfuse、Methode Electronics、Reliance Steel。 |
| 小売&消費者向け商品 | Amway、Carvana、Do it Best、GameStop、Murphy USA、Sargento Foods、Sonos、Spin Master、Lamb Weston。 |
| 保険 | HBF Health、Mercury Insurance、Risk Strategies。 |
| 法律サービス | Jones Day、Paul Hastings LLP、Perkins Coie。 |
| メディア、教育&ホスピタリティ | Cengage、Choice Hotels、Hearst。 |
| 通信 | Telstra。 |
標準的なセキュリティ認識トレーニングは、この特定の脅威を阻止できないことが多いです。SLSH操作者は非常に説得力があり、ヘルプデスクと従業員に頻繁に電話をかけながら、同時にライブフィッシングページを操作して被害者の特定のログインプロンプトと一致させます。
リスク
- SSO全体の乗っ取り:Oktaまたはその他のSSO プロバイダーのセッションがハイジャックされると、攻撃者はあなたの環境内のすべてのアプリへの「マスターキー」を持ちます。
- データの強要:LAPSUS$のプレイブックに従って、これらのアクターは公開恐喝のための急速なデータ流出を優先します。
- 横方向の移動:攻撃者は初期のSSO侵害を利用して、内部通信(SlackやTeamsなど)に移動して、より高い特権のある管理者を社会工学的に操作します。
- データ暗号化:データ流出後のSLSH攻撃の最終ステップは、エンタープライズデータを暗号化し、その後組織を脅迫して身代金を支払ってデクリプションキーを取得することです。
防御要件
組織は侵害通知を待たずに、直ちに以下を行う必要があります:
- 進行中のSLSH攻撃について顧客サポートと従業員に警告する:予期しないvishingキャンペーンが成功するのを防ぐ最善の方法は、あなたの会社を標的にしている進行中の攻撃について従業員に警告することです。この期間中に誰かが疑わしいメッセージ、電話、または電子メールを受け取った場合、それらはマネージャーとセキュリティチームのレビューのために直ちにエスカレートされる必要があります。
- Oktaシステムおよび他のSSO プロバイダーログを監査する:「新しいデバイスが登録されました」イベントを探し、その直後に見覚えのないIPアドレスからのログインを監視してください。
- 事前攻撃インテリジェンスを展開する:Silent Pushはvishing呼び出しが始まる前にDNSレベルでこれらの攻撃面を識別します。Silent Push Indicators of Future Attack™(IOFA™)フィードの使用により、悪意のあるルックアライク ドメインが稼働する前にそれらをブロックできます。
FAQ
SLSH脅威グループとは何ですか?SLSHはScattered Spider、LAPSUS$、およびShinyHuntersのサイバー犯罪同盟であり、vishing、SSO認証情報盗難、およびランサムウェアキャンペーンを専門としています。
ライブフィッシングパネルはどのように機能しますか?これにより、攻撃者はMFAトークンとログイン認証情報をリアルタイムでインターセプトでき、被害者が電話中にセキュリティプロンプトをバイパスすることができます。
Oktaまたはその他のSSO プロバイダーアカウントをvishingから保護するにはどうすればよいですか?最も効果的な防御は、フィッシング耐性MFA(FIDO2)を使用し、すべてのITサポートコールを公式のアウトオブバンドチャネルで検証することです。
翻訳元: https://www.silentpush.com/blog/slsh-alert/?utm_source=rss&utm_medium=rss&utm_campaign=slsh-alert
