Microsoftが「最も危険な金融犯罪グループ」と評するScattered Spider その実態は?:Cybersecurity Dive
ラスベガスのカジノ業界を狙った一連のサイバー攻撃の背後にいる攻撃者はソーシャルエンジニアリング攻撃の達人が集まった巧妙な組織だ。
MGM Resorts(注1)やCaesars Entertainment(注2)、Clorox(注3)に対する大規模なサイバー攻撃を主張する攻撃者グループは、ソーシャルエンジニアリング攻撃の専門家で構成されている。連邦サイバー当局は、より多くの被害者に名乗り出るよう促している。
ランサムウェアグループの「Scattered Spider」は、一部の攻撃で「AlphV」ランサムウェアを展開している。連邦サイバー当局は、2023年11月16日(現地時間、以下同)の勧告の中で「これらのグループはリモートアクセスを獲得したり、多要素認証を回避したりするために複数の技術とツールを使用している」と警告した(注4)。
ソーシャルエンジニアリング攻撃の専門家が集まるグループに当局も警戒
米国連邦調査局(FBI)と米国土安全保障省サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)は、組織が攻撃を阻止したり影響を軽減したりするために、2023年11月の調査から得られた技術的な詳細情報とデータを共有している。しかし、当局は「報告の不足が法執行機関の措置を妨げているため、さらなる情報が必要だ」と述べている。
「Spattered Spiderは頻繁に活動している。攻撃の予防が重要であり、より多くの被害組織がCISAまたはFBIにサイバー攻撃について報告する必要がある」と当局は指摘している。
FBIの高官は、2023年11月16日のメディアブリーフィングで「これらの侵入に関して、詳細かつ正確な情報をタイムリーに得られなければ、私たちは対処できない。手に入るデータが多ければ多いほど、それらのデータにおけるつながりを見つけだし、攻撃者に対して行動を起こせる」と話している。
サイバーセキュリティ専門家によると、Scattered Spiderの背後にいる犯罪者を捕まえるためには、逮捕や妨害、摘発につながるミスを法執行機関が特定する必要がある。そのためにより多くの情報が必要だ。
Recorded Futureの脅威インテリジェンスアナリストであるアラン・リスカ氏は「これらの攻撃は複雑であり、政府機関であっても法医学的な証拠を収集するのは難しい。Scattered Spiderは熟練しているが、熟練した攻撃者であってもミスを犯す。政府機関がインシデントから収集できるデータが多ければ多いほど、それらのミスを発見しやすく、Scattered Spiderのメンバーを逮捕できる可能性が高くなる」と述べている。
Microsoftが「最も危険な金融犯罪グループ」と評価
FBIによると、Scattered Spiderは最近、侵入後にファイルを暗号化しているという。このグループは、被害者固有のドメインを活用した広範なフィッシングキャンペーンを展開し、大企業のネットワークに侵入する。それらのキャンペーンは、「Okta」などのシングルサインオン(SSO)サービスや、ITサービスデスクの合法的なポータルに見えるように設計されている。
脅威グループは、組織内で最も価値のあるユーザーの認証情報を特定し、SIMスワップを実施した後、ITヘルプデスクの担当者を説得してパスワードまたは多要素認証のためのトークンをリセットさせ、ユーザーのSSOアカウントを乗っ取る。
サイバーセキュリティ事業を営むSophosのディレクターであり、グローバル分野におけるCTO(最高技術責任者)でもあるチェスター・ウィスニェフスキ氏によると、CISAとFBIの共同勧告には、ランサムウェアの操作に関する戦術、技術、手順(TTP)と侵害の指標(IOC)について、これまでで最も詳細かつ包括的なリストの1つが含まれているという。
「このグループは、被害者を執拗(しつよう)に狙うために使用するツールの数や組み合わせが際立っている」とウィスニェフスキ氏は述べた。
「私はScattered Spiderの活動から教訓を得た。私を標的にした場合、彼らは私のネットワークに侵入できるだろう。彼らは忍耐力を持ち、執念深く、非常に創造的なアプローチを実行する。彼らは社会的なスキルと技術的なスキルを組み合わせて使用している」(ウィスニェフスキ氏)
Microsoft Threat Intelligenceは2023年10月に「Octo Tempest」と名付けたこのグループを「現在活動中の最も危険な金融犯罪グループの一つ」と評した(注5)。
Scattered Spiderの攻撃者は検知を回避するために、少なくとも10種類の正規のツール、3種類のマルウェアの亜種、42種類の戦術やテクニックを駆使している。連邦サイバー当局によって観測された攻撃や連邦サイバー当局に報告された攻撃で、それらの痕跡が確認された。
FBIの高官によると、Scattered Spiderはここ2週間から3週間のうちに、多要素認証を経由して、あるネットワークにアクセスしたが、その組織はログを通じて悪意のある活動をすぐに検出し、攻撃者をネットワークから追い出すことに成功したという。
サイバー犯罪では攻撃者が操作ミスを犯すことで当局にとって良い展開が起こる場合がある。
「彼らのような集団が人々のネットワークを荒らし回れば、必ずミスを犯す」とウィスニエフスキー氏は述べた。
FBIは、Scattered Spiderの活動、所属、関係者の所在など、現在進行中の捜査の詳細については言及を避けた。
FBIの高官は「行動が観察されないからといって、彼らが行動を起こしていないわけではない。このような事態に対処するために、私たちは努力をしており、多大なリソースを投入している」と話している。
(注1)MGM Resorts’ Las Vegas area operations to take $100M hit from cyberattack(Cybersecurity Dive)
(注2)Caesars Entertainment faces class action lawsuits following rewards database hack(Cybersecurity Dive)
(注3)Clorox warns of quarterly loss related to August cyberattack, production delays(Cybersecurity Dive)
(注4)Scattered Spider(CISA)
(注5)High-profile summer attacks linked to same aggressive ransomware group(Cybersecurity Dive)
関連記事
- E2EEとは何か? 今すぐ使える暗号化技術のメリットと設定方法を解説
端末のデータ保護を担う暗号化技術として筆者が最近注目しているのが「E2EE」(End to End Encryption)です。意外に普及していないこの技術のメリットや、LINEやiCloudでこれを設定する方法を紹介します。 - サイバー攻撃者はなぜギャンブル業界を狙うのか? お金だけじゃないその理由
サイバー攻撃者は近年、ギャンブル業界を標的にしたランサムウェア攻撃を仕掛ける傾向にある。一体なぜこの業界が狙われているのか。理由は金銭だけではないようだ。 - Microsoftが批判を受けてサイバー戦略を全面的に見直し 3つの大きな変更とは?
Microsoftはセキュリティ・バイ・デフォルトを採用するためにサイバー戦略を大幅に刷新した。この計画は2023年のはじめに、同社がセキュリティ機能に関する追加の課金を顧客に対して行い、大きな反発を受けた後に発表された。 - 50カ国が賛同した“身代金支払いの拒否”の共同声明 だが専門家は影響を疑問視
CRIのメンバーである50カ国は「各国政府の権限の下にある機関は、ランサムウェアに関連する身代金を支払うべきではない」という共同声明を発表した。この誓約は、禁止に向けた第一歩になる可能性がある。
© Industry Dive. All rights reserved.