セキュリティ研究者たちは、2026年2月から小売業・ホテル業界の企業を積極的に標的にしている新しい脅迫グループの詳細を明らかにしました。
Palo Alto NetworksのUnit 42は、Retail and Hospitality Information Security and Analysis Center(RH-ISAC)と提携し、4月23日に「企業における恐喝:BlackFile攻撃への対抗」という新しいレポートを公開しました。
このレポートでは、活動クラスタCL-CRI-1116に関連した金銭目的の活動について詳しく述べており、著者たちはこれがBlackFile、UNC6671、Cordial Spiderに関する公開情報と重なり、悪名高い集団「The Com」と関連している可能性が高いと述べています。
「CL-CRI-1116の攻撃者たちはカスタムマルウェアやツール類に依存していません」と説明されています。「むしろ、彼らはアプリケーションプログラミングインターフェース(API)やその他の正当な内部リソースの悪用を通じて、既存のシステムを活用することに焦点を当てています。」
詳細を読む:NCA、Five Eyes会議の議長を務める中で「The Com」を特定
BlackFileは通常、IT ヘルプデスクになりすました詐欺電話攻撃を通じて被害者を狙います。なりすましたVoIP番号または不正な発信者ID名を使用して正体を隠し、最終的な目標は認証情報またはワンタイムパスワードの盗難です。
この目的のために、脅迫行為者たちは正当な企業シングルサインオンポータルになりすましたフィッシングページを使用します。
「彼らはまた、アンチディテクトブラウザと住宅用プロキシを利用して地理的な位置を隠し、基本的なIPベースのレピュテーションフィルターをバイパスしています」とレポートは述べています。
アクセスから情報流出へ
認証情報フィッシングを通じてユーザーのアカウントへの物理的アクセスを取得した後、BlackFileは多くの場合、多要素認証(MFA)をバイパスし、継続的なアクセスを維持するために新しいデバイスを登録します。
「攻撃者たちはまた、標準的な従業員アカウントから高い特権を持つアカウントへと横方向に移動することによってアクセスを維持しています。彼らは内部従業員ディレクトリをスクレイプして、経営者向けの連絡先リストを取得しています」とレポートは続けます。
「これらの上級アカウントをさらなるソーシャルエンジニアリングを通じて侵害することにより、彼らは正当な経営幹部のセッション活動を反映した環境への永続的で広範なアクセスを獲得します。」
被害者ネットワーク内に侵入した後、グループはSaaSデータの発見、API悪用、SharePointサイトのスクレイピングに焦点を当てます。「機密」および「SSN」を検索して、SharePointとSalesforceの高価値ファイルとレポートを探します。
「CL-CRI-1116攻撃は、ブラウザを通じて、またはAPIエクスポートを介してデータを直接流出させます。Salesforce APIアクセスと標準のSharePointダウンロード機能を活用することで、攻撃者は従業員の電話番号のCSVデータセットや機密ビジネスレポートを含む大量のデータを攻撃者が管理するインフラストラクチャに移動させます」とレポートは説明しています。
「これは多くの場合、シンプルなユーザーエージェントアラートをトリガーするのを避けるために、正当なSSO認証されたセッションの装いの下で実施されます。」
グループは、ランダムなGmailアドレスまたは侵害された従業員のメールアカウントを使用して被害者に恐喝を行い、通常は7桁の金額を要求します。時には、彼らはまたC級幹部およびその他の人物へのSWAT出動を使用して支払いを強要しようとします。
「これらの戦術の成功率を軽減するために、組織は、セキュリティポリシー、呼び出し元の多要素認証の管理、通話中に共有できる情報に関するプロトコル、および経営陣への段階的対応なしに単一の通話で完了できるIT サポートアクションに焦点を当てることをお勧めします」とレポートは結論付けています。
「さらに、最前線の電話スタッフのセキュリティ意識トレーニングは有効であり、シミュレーションベースのシナリオと、身元質問への曖昧な回答や即座の行動を求める高圧的なリクエストの試みなど、ソーシャルエンジニアリングの兆候を特定することに焦点を当てることができます。」
翻訳元: https://www.infosecurity-magazine.com/news/blackfile-group-targets-retail/
