MGM ResortsなどOktaの顧客を狙ったサイバー攻撃の背後には複数の脅威グループが連携した形跡が見られている。
この記事は会員限定です。会員登録すると全てご覧いただけます。
統合型リゾート運営企業であるMGM Resorts(以下、MGM)にサイバー攻撃を仕掛けた攻撃者は、攻撃に先立って同社の「Okta」環境にアクセスしたと主張している。
セキュリティ企業Emsisoftの脅威アナリストであるブレット・カロウ氏が投稿した主張によると(注1)、MGMへの攻撃を主張する脅威グループ「AlphV」(別名:BlackCat)は「脆弱(ぜいじゃく)なパスワードを見つける目的でハッカーが『Okta Agent』のサーバに潜んでいると気付いた後、MGM ResortsはOktaのサーバをシャットダウンした」と述べている。
この他、攻撃者は同社の「Microsoft Azure」のテナントに対しても管理者権限を持っていると主張している。
AlphVは今回の攻撃において、「Scattered Spider」(別名:Muddled Libra、Scatter Swine、Oktapusなど)と呼ばれる脅威グループと一部で協力している可能性がある。Scattered Spiderは、ラスベガスでホテル事業とゲーム事業を営むCaesars Entertainmentへの攻撃に関与したと疑われている。
Caesars Entertainmentは、2023年9月14日(現地時間、以下同)に米国証券取引委員会(以下、SEC)に提出した書類の中で、ソーシャルエンジニアリング攻撃被害について公表した(注2)。これによると、ITサポートベンダーへの攻撃によって、Caesars Entertainmentのデータベースから顧客情報が盗まれたという。
Oktaは2023年9月1日に、ハッカーがソーシャルエンジニアリング攻撃を使って顧客情報に対する特権アクセスを獲得しようとする攻撃パターンを公表したばかりだった(注3)。OktaはSECへの提出書類でこの攻撃を公表している。
OktaはMGMが攻撃を受けたことを確認し、「被害軽減の取り組みを支援するために同社と協力している」と述べた。同社の広報担当者は電子メールで「MGMに対するサイバー攻撃を認識している。Oktaのシステムに対する侵入や侵害はなく、Oktaのサービスは安全に稼働しており、MGMの通常業務への復帰を支援するために可能な限りのサポートを提供している」と回答している。
「Cybersecurity Dive」の調べでは(注4)、Oktaの顧客を狙ったこのソーシャルエンジニアリング攻撃は米国の4つの組織に対して使用されたことが確認できている。Oktaの公表によると、複数の米国企業がハッカーにだまされて、ITサービスデスクに電話をかけた。そして高度な特権を持つユーザーの多要素認証をリセットするよう要求したという。
Oktaは顧客情報を保護するために、最近のブログに記載された軽減措置に関する勧告を読むように顧客を促している。
また、米国土安全保障省サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)は、MGMと協力してこの攻撃に対応していることを確認した。
同広報担当者は「CISAは最近のサイバーインシデントの影響を確認するためにMGM Resortsと連絡を取っている。同社からの要請があれば、必要な支援を提供する」と電子メールで述べている。
2023年9月14日に公開されたMandiantの研究者のブログによると(注5)、Scattered Spiderは金銭的な動機を持つ脅威グループであり、パスワードをリセットしたり、多要素認証を回避したりするために、ヘルプデスクを標的にSMSフィッシングを使用することで知られているという。
Mandiantの研究者はCybersecurity Diveに対して「AlphVはランサムウェアをサービスとして提供しており、Scattered Spiderが同じランサムウェアを展開するのを目撃した」と語った。
「これらの提携において、ランサムウェアの運用者は通常、その提携者に、他の関連するサポートサービスとともにビルドを配布する。これらのサポートサービスには、被害者の管理を容易にするインフラや、DDoS攻撃などの脅迫サポートも含まれる」(Mandiantの研究者)
(注1)Brett Callow(X)
(注2)MGM Resorts disruption linked to recent attacks against hospitality industry(Cybersecurity Dive)
(注3)Cross-Tenant Impersonation: Prevention and Detection(Okta)
(注4)Okta customers’ IT staff duped by MFA reset swindle(Cybersecurity Dive)
(注5)Why Are You Texting Me? UNC3944 Leverages SMS Phishing Campaigns for SIM Swapping, Ransomware, Extortion, and Notoriety(Mandiant)
© Industry Dive. All rights reserved.