米国保健社会福祉省(HHS)は、ハッカーがソーシャル・エンジニアリングの手口を使って、医療・公衆衛生(HPH)部門のITヘルプデスクを標的にしていると警告している。
今週、Health Sector Cybersecurity Coordination Center (HC3)が発表したセクター・アラートによると、このような手口により、攻撃者は自分自身の多要素認証(MFA)デバイスを登録することで、標的となった組織のシステムにアクセスできるようになっているという。
これらの攻撃では、脅威者はローカルエリアコードを使用して、財務部門の従業員のふりをして組織に電話をかけ、企業IDや社会保障番号など、盗んだID認証の詳細を提供します。
この機密情報を使い、スマートフォンが壊れたと主張し、ITヘルプデスクを説得して攻撃者の管理下で新しいデバイスをMFAに登録させる。
これにより、企業のリソースにアクセスできるようになり、ビジネスメール侵害攻撃で銀行取引をリダイレクトできるようになる。
HC3は[PDF]で、「この脅威者は、特に支払者のウェブサイトに関連するログイン情報を標的とし、そこで支払者口座のACH変更を行うためのフォームを送信しました」と述べています。
「従業員の電子メール・アカウントにアクセスすると、攻撃者が管理する米国の銀行口座に正当な支払いを振り向けるよう、支払い処理業者に指示を送った。
“その後、資金は海外の口座に送金された。悪意のあるキャンペーン中、脅威者は標的組織の一文字違いのドメインも登録し、標的組織の最高財務責任者(CFO)になりすましたアカウントを作成した。”
このようなインシデントでは、攻撃者はAIの音声クローンツールを使って標的を欺き、遠隔からの身元確認を困難にすることもある。最近の世界的な調査によると、25%の人がAI音声のなりすまし詐欺を経験しているか、経験者を知っているという。
撒き散らされた蜘蛛の波動
保健省の警告に書かれている手口は、Scattered Spider(別名UNC3944、0ktapus)という脅威グループが使っている手口と非常によく似ている。この脅威グループは、フィッシング、MFAボミング(別名MFA疲れ)、SIMスワッピングなども使って、最初のネットワークアクセスを獲得している。
このサイバー犯罪集団は、しばしばIT従業員になりすまし、カスタマーサービススタッフを騙して認証情報を提供させたり、ターゲットのネットワークに侵入するためのリモートアクセスツールを実行させたりします。
最近、Scattered Spiderのハッカーたちは、BlackCat/ALPHVランサムウェアを使ってMGM Resortsのシステムを暗号化した。彼らはまた、マイクロソフト、Binance、CoinBase、T-Mobile、Verizon Wireless、AT&T、Slack、Twitter、Epic Games、Riot Games、Best Buyを含む130以上の組織を標的とした0ktapusキャンペーンでも悪名高い。
FBIとCISAは11月に勧告を発表し、一連の有名企業に対するデータ窃盗とランサムウェア攻撃に対するScattered Spiderの戦術、技術、手順(TTP)を強調した。
しかし、HC3によると、これまでに報告された同様の医療分野のインシデントは、まだ特定の脅威グループに起因するものではないという。
ITヘルプデスクを標的にした攻撃を阻止するために、医療分野の組織には次のようなアドバイスがある:
- パスワードのリセットや新しいMFAデバイスを要求する従業員を確認するために、コールバックを要求する。
- 疑わしいACHの変更を監視する。
- 支払者のウェブサイトにアクセスできるすべてのユーザーを再認証する。
- 機密性の高い事項については、対面での要請を検討する。
- 上司によるリクエストの確認を義務付ける。
- ソーシャル・エンジニアリングのテクニックを特定し報告し、発信者の身元を確認するために、ヘルプデスクスタッフを訓練する。
Comments