ロブ・ライト、シニアニュースディレクター、Dark Reading
2025年10月9日
読了時間:4分
出典:JG Photography(Alamy Stock Photoより)
Scattered Lapsus$ Huntersアライアンスがさらに拡大し、最近のRed Hat Consulting侵害の背後にいる脅威アクターが悪名高いサイバー犯罪集団に加わりました。
新興のサイバー犯罪グループと、近年最大級の侵害やサイバー攻撃の背後にいる多数の脅威アクターコミュニティとの協力は、企業にさらなる脅威をもたらす可能性があります。法執行機関はScattered Lapsus$ Huntersに関連する容疑者の逮捕・起訴で一定の進展を見せていますが、この集団は拡大しているようで、最新のメンバーも自身の大規模なハッキングで知られています。
先週、Red Hatは、コンサルティング部門専用のGitLabインスタンスが脅威アクターによって侵害されたことを認めました。「Crimson Collective」と名乗る新たなサイバー犯罪グループの代表を自称する匿名の人物が、Dark Readingを含む複数のメディアに連絡し、同グループがRed Hatの28,000件のリポジトリに侵入し、コードや顧客エンゲージメントレポート(CER)を盗み出したと主張しました。
先週Dark Readingに送られたメッセージで、その匿名の人物はCrimson Collectiveが恐喝型ランサムウェアグループであると述べました。また、CERにはRed Hat Consultingの顧客のインフラ情報が含まれており、Crimson Collectiveはそのデータを使って少なくとも1社の組織を侵害したと主張しています(この主張についてDark Readingは確認できませんでした)。
週末、セキュリティ研究者はCrimson Collectiveの公開Telegramチャンネルで、同グループがScattered Lapsus$ Huntersと提携したことを示すやりとりを観測しました。Scattered Lapsus$ Huntersは、Scattered Spider、Lapsus$、Shiny Huntersのメンバーで構成され、最近Salesforce侵害キャンペーンの責任を主張したハッキング集団です。
匿名のCrimson Collective代表はDark Readingに対し、同グループが現在Scattered Lapsus$ Huntersと協力していると述べていますが、その詳細は明らかではありません。しかし、先月Telegramで活動終了を宣言したとされる有名なグループが、実際には拡大していることが示されています。
Red HatがScattered Lapsus$ Huntersのリークサイトに追加
Scattered Lapsus$ Huntersは先週、ダークウェブ上にリークサイトを立ち上げ、ビッシング攻撃によってSalesforceインスタンスが侵害された39の組織を掲載しました。セキュリティ研究者は週末、同サイトの「Other(その他)」セクションにRed Hatの掲載が追加されたことに気付きました。
その掲載には、侵害は9月13日に発生し、機密データが公開される前にRed Hatが身代金を支払う期限として10月10日(Salesforceと同じ期限)が設定されていると記載されています。また、盗まれたデータのサンプルも含まれており、CERにはRed Hat Consultingの顧客のアクセストークンなどの秘密情報が含まれていると主張しています。
「圧縮すると、これは570GBの時限爆弾だ」とScattered Lapsus$ Huntersは掲載で述べています。
Crimson Collectiveの代表は、Red Hat ConsultingのGitLabインスタンスを侵害したのは自分たちであり、Scattered Lapsus$ Huntersのリークサイトを恐喝目的で利用しているだけだと述べています。
代表者は、Red Hat ConsultingのGitLabインスタンスへのアクセス方法についての詳細は語りませんでした。しかし、リークサイトのRed Hat掲載記事にはいくつかの手がかりが記載されています。
「これらのリポジトリの機密性を維持するための技術的または組織的な対策は確認されませんでした」と掲載には記載されています。
Dark Readingは、リークサイトの投稿と身代金要求についてRed Hatにコメントを求めましたが、記事執筆時点で同社からの返答はありませんでした。
GitLabは先週、Dark Readingに対し、Red Hat ConsultingがGitLab Community Edition(ベンダーの無償版)のセルフマネージドインスタンスを利用していたと述べました。GitLabインスタンスにどのような保護策が講じられていたかは不明です。
Crimson Collectiveのさらなる活動
Crimson CollectiveはRed Hat Consulting侵害以外にも活発に活動しているようです。火曜日のブログ記事でRapid7は、新グループによる活動の増加について詳述し、AWSクラウド環境を標的に機密データを窃取し、被害組織を恐喝していると報告しました。「Rapid7は、このグループがAWS環境で、漏洩した長期アクセスキーを使用し、過度に許可された[アイデンティティとアクセス管理]エンティティの設定を利用していることを観測しました」と脅威インテリジェンス&検知エンジニアのJakub Zvarik氏は述べています。
Zvarik氏によると、Crimson CollectiveのアクターはTruffleHogというオープンソースツールを使って漏洩したAWS認証情報を発見していました。ただし、攻撃者がどこでTruffleHogを実行して認証情報を見つけたのかは不明です。通常、脅威アクターは侵害環境へのアクセスを得た後に追加の認証情報を見つけて横展開するためにこのツールを使用します。
Rapid7は9月にCrimson Collectiveによる2件の攻撃を観測しました。攻撃者は認証情報やアクセスキーを取得した後、権限昇格した新しいアカウントを作成し、長大なAPIコールリストでAWS環境を広範囲にマッピングしました。GetObject APIコールを使って機密データを特定・流出させた後、Crimson Collectiveは被害者に恐喝メモを送りつけました。
Zvarik氏は、組織は可能な限り長期認証情報の使用を避け、短期または一時的な認証情報に切り替えるべきだと述べています。また、セキュリティチームはコードリポジトリ内のシークレットを積極的にスキャンし、こうしたリソースへのアクセスを既知かつ信頼できるIPアドレスのみに制限すべきだとしています。
翻訳元: https://www.darkreading.com/threat-intelligence/red-hat-hackers-team-up-scattered-lapsus-hunters
