spider

米当局は、悪名高いサイバー犯罪組織「スキャッタード・スパイダー」に関係する19歳のティーンエイジャーを逮捕した。彼は現在、米国の金融機関と無名の通信会社2社に侵入した容疑で起訴されている。

Remington Goy Ogletree(ネット上では “remi “としても知られている)は、従業員をターゲットにしたテキストや音声のフィッシング・メッセージで盗んだ認証情報を使って、3社のネットワークに侵入した。

また、被害者のITサポート部門になりすまして電話をかけ、従業員にユーザー名とパスワードの入力を求めるフィッシング・サイトにアクセスするよう圧力をかけた。

オグルツリーによってハッキングされたとされる米国の金融機関は、FBIの調べに対し、同社を装ったフィッシング・ランディング・ページにリダイレクトさせるフィッシング・キャンペーン(2023年10月下旬から2023年11月中旬にかけて)で、およそ149人の従業員が標的にされたと述べている。

これらのフィッシング・ウェブサイトは、標的となった従業員が金融機関のシステムにアクセスする際に使用する認証情報の入力を求めるように設計されていた。

フィッシングメッセージのスクリーンショットを確認したところ、”従業員の福利厚生パッケージが更新された”、”従業員のスケジュールが変更された “といった詐欺的なメッセージなど、従業員を欺き、認証情報を提供させることを意図した文言が確認された」と訴状には書かれている

フィッシングメッセージの中には、”人事部からの問い合わせ “や “VPNプロフィールが更新された “と従業員に伝えるものもあった。

また、2023年10月から2024年5月にかけて、オグレットリーは通信会社のシステムへのアクセス権を利用して、受信者の暗号通貨を盗むことを目的とした860万通以上のフィッシング・テキスト・メッセージを全米の電話番号に送信した。

Phishing text message samples
オグルツリーが送信した暗号通貨をテーマにしたフィッシング・メッセージ(米司法省)

トレンドマイクロが2023年10月に報告したように、これらの攻撃の一部は、yourgeminiclaims[.]netとkucoinclaims[.]comのドメインを使用して、正規の暗号プラットフォームGeminiとKuCoinの顧客を標的にしていました。

KuCoin phishing text message
KuCoinフィッシングのテキストメッセージ(トレンドマイクロ)

2月、テキサス州フォースワースにある彼の自宅を捜索していたFBIは、押収した彼のiPhoneから、ハイテク企業を装ったフィッシング・テキストのスクリーンショット、クレデンシャル・ハーベスティング・フィッシング・ページのスクリーンショット、数万ドルの暗号通貨が入った暗号ウォレットのスクリーンショットなど、オグルツリーの犯罪行為を示す広範な証拠を発見した。

その後のFBIとのインタビューで、オグレットリーは「あらゆる種類の犯罪を犯す人々」と「スキャッタード・スパイダーの主要メンバー」を知っていると述べ、ハッキング・グループがビジネス・プロセス・アウトソーシング(BPO)企業をターゲットにしているのは、彼らが働く企業よりも「セキュリティが低い」からだと付け加えた。

これまでのScattered Spiderの逮捕者

先月、米司法省は、数十の標的を狙ったSMSフィッシング攻撃を使って数百万ドルの暗号通貨を盗んだとされるサイバー犯罪集団に関連する他の5人の容疑者を逮捕・起訴した。

この5人の容疑者は、電信詐欺、電信詐欺の共謀、および加重個人情報窃盗の罪に問われており、それぞれ少なくとも20年の懲役刑に処される可能性がある:

  • テキサス州カレッジステーションのアーメド・ホッサム・エルディン・エルバダウィ(23歳、通称「AD」);
  • フロリダ州パームコーストのノア・マイケル・アーバン(20歳、通称「ソーサ」「イライジャ」);
  • テキサス州ダラスのエヴァンス・オニェカ・オシーボ(20);
  • ジョエル・マーティン・エヴァンス(25歳、通称 “joeleoli”、ノースカロライナ州ジャクソンビル
  • 英国のタイラー・ロバート・ブキャナン(22歳)。

英国警察は7月にも、2023年のMGMリゾーツ・ランサムウェア攻撃に関与したハッキング集団「スキャッタード・スパイダー」の一員とみられる17歳の容疑者を逮捕している。

このハッキング集団に関連する他の有名な攻撃には、シーザーズMailChimpTwilioDoorDashRiot GamesRedditがある。

2023年の開始以来、Scattered SpiderはQilinBlackCat/AlphVRansomHubを含む複数のロシアのランサムウェア・ギャングとも提携している。

Scattered Spiderとは?

セキュリティ・ベンダーはまた、金銭的動機に基づくScattered Spiderサイバー犯罪組織を、0ktapusUNC3944Scatter SwineOcto TempestMuddled Libraとして追跡しています。

英語を話すこの脅威行為者のグループは、組織構造が流動的で、同じテレグラム・チャンネル、ディスコード・サーバー、ハッカー・フォーラムを通じて連絡を取り合い、様々な攻撃を調整・指揮している。

メンバーの一部は、以前暴力事件やサイバー攻撃に関連していた別のハッカー集団「ザ・コム」の一員とも考えられている。

グループの組織が緩いため、法執行機関は彼らの犯罪活動を追跡し、特定の攻撃を特定のギャングのメンバーに帰属させることが難しくなっている。

FBIによると、彼らはフィッシング、ソーシャル・エンジニアリング、SIMスワッピング、多要素認証(MFA)爆撃(標的型MFA疲労)など、さまざまな手口で企業ネットワークに侵入しているという。