2025年9月17日Ravie Lakshmanan脅威インテリジェンス / サイバー犯罪
サイバーセキュリティ研究者は、金融サービスを標的とした新たなサイバー攻撃の背後に、悪名高いサイバー犯罪グループScattered Spiderが関与していることを突き止めており、同グループが「姿を消した」とする主張に疑問を投げかけています。
脅威インテリジェンス企業ReliaQuestによると、この脅威アクターが金融業界に焦点を移した兆候が観測されているとのことです。これは、同グループに関連している可能性のある業界向けの類似ドメインの増加や、最近特定された米国の無名銀行組織に対する標的型侵入によって裏付けられています。
「Scattered Spiderは、幹部のアカウントをソーシャルエンジニアリングで乗っ取り、Azure Active Directoryのセルフサービスパスワード管理を利用してパスワードをリセットすることで初期アクセスを獲得しました」と、同社は述べています。
「そこから、機密性の高いITおよびセキュリティ文書にアクセスし、Citrix環境やVPNを横断的に移動し、VMware ESXiインフラを侵害して認証情報をダンプし、さらにネットワークへの侵入を進めました。」
権限昇格を達成するため、攻撃者はVeeamサービスアカウントのパスワードをリセットし、Azureグローバル管理者権限を付与し、検知を回避するために仮想マシンを移動させました。また、Scattered SpiderがSnowflake、Amazon Web Services(AWS)、その他のリポジトリからデータを流出させようとした形跡もあります。
引退か、煙幕か?#
最近の活動は、同グループがLAPSUS$など他の14の犯罪グループとともに活動停止を宣言したという主張を覆すものです。Scattered Spiderは、The Comと呼ばれるより大きなオンライン組織の一部である、緩やかに結びついたハッカー集団に付けられた呼称です。
このグループは、ShinyHuntersやLAPSUS$など他のサイバー犯罪グループとも大きな重複があり、3つのクラスターが統合されて「scattered LAPSUS$ hunters」と呼ばれる包括的な組織を形成しています。
これらのクラスターの1つ、特にShinyHuntersは、被害者のSalesforceインスタンスから機密データを流出させた後、恐喝活動にも関与しています。これらのケースでは、標的がGoogle傘下のMandiantによって追跡されている金銭目的のハッカーグループUNC6040によって侵害された数か月後に活動が行われました。
ReliaQuestは、この事件は安心感に油断しないよう警鐘を鳴らすものであり、組織に対して脅威への警戒を呼びかけています。ランサムウェアグループの場合と同様、「引退」というものは存在せず、将来的に別の名前で再結集やリブランディングが十分にあり得ると述べています。
「Scattered Spiderが引退を宣言したという最近の主張は、かなり懐疑的に受け止めるべきです」と、TrustwaveのSpiderLabs Threat IntelligenceセキュリティリサーチマネージャーであるKarl Sigler氏は述べています。「本当の解散というよりも、この発表は法執行機関の圧力の高まりから距離を置くための戦略的な動きである可能性が高いです。」
Sigler氏はまた、別れの手紙は戦略的撤退と見るべきであり、グループが自らの手法を見直し、技術を洗練し、活動抑制の取り組みを回避し、今後の事件を同じ主要メンバーに結びつけにくくすることで責任追及を困難にする狙いもあると指摘しています。
「グループの運用インフラの何かが侵害された可能性は十分に考えられます。侵害されたシステム、露出した通信チャネル、または下位メンバーの逮捕など、何らかの要因でグループが少なくとも一時的に姿を消した可能性があります。歴史的に、サイバー犯罪グループが監視の強化や内部混乱に直面した場合、『引退』は名目上に過ぎず、実際には一時停止し、再編成し、最終的には新たなアイデンティティで再登場することがよくあります。」
翻訳元: https://thehackernews.com/2025/09/scattered-spider-resurfaces-with.html