- Scattered Spiderギャングが活動を再開、引退宣言にもかかわらず米国の銀行を標的に
- ハッカーはビッシングとOktaを装ったフィッシングでMFAを回避し、機密データを流出
- グループは700社以上に影響を与えたSalesforce漏洩などの大規模侵害にも関連
どうやら引退はScattered Spiderには向いていないようです。この悪名高い脅威アクターは、「闇に消える」と主張していたにもかかわらず、米国の銀行組織を標的にしていることが確認されています。
セキュリティ研究者のReliaQuestは、ハッカーによる新たな活動の証拠を確認したとする新しいレポートを公開しました。
証拠の中には、フィンテック業界に関連する複数の偽装ドメインや、被害者である米国の銀行組織が含まれています。
標的組織への侵入には、Scattered Spiderはビッシング(音声フィッシング)を用いたようです。グループは従業員に電話をかけ、ITスタッフになりすまし、悪意のある「接続アプリ」へのアクセスを許可するよう説得しました。
これらのアプリは一見無害(Salesforceや類似サービスを装う)ですが、不正者はこれを利用して機密ビジネスデータを流出させました。ログイン認証情報を盗むため、攻撃者はOktaを装ったフィッシングページを使い、多要素認証などのセキュリティ制御を回避することに成功しました。
「Scattered Spiderは、幹部のアカウントをソーシャルエンジニアリングで初期アクセスを獲得し、Azure Active Directoryのセルフサービスパスワード管理を使ってパスワードをリセットしました」とレポートには記載されています。
「そこから、機密性の高いITおよびセキュリティ文書にアクセスし、Citrix環境やVPNを横断して移動し、VMware ESXiインフラを侵害して認証情報をダンプし、さらにネットワークへの侵入を進めました。」
Scattered Spiderは、Jaguar Land Rover(JLR)、Marks & Spencer、The Co-op、Harrodsなど、多数の侵害の背後にいるとされる3つのグループのうちの1つです。
最近、グループは「闇に消える」と発表しましたが、一部の研究者は、ハッカーが法執行機関からの対応を恐れていると考えており、他の研究者はこれがリブランドや方向転換のための簡単な方法だと見ています。
実際にはその両方かもしれません。Scattered Spiderは、700社以上に影響を与えたとみられる大規模なSalesforce / Salesdriftデータ漏洩にも関連付けられています。もしこれらの主張が事実であれば、近年最大級の情報漏洩事件の一つとなり、FBIはもちろん、場合によってはNSAの注目も集めることになるでしょう。
翻訳元: https://www.techradar.com/pro/security/scattered-spider-hackers-return-despite-retirement-claims
