Googleは本日、英国の小売チェーンに対してScattered Spiderの手口を使うハッカーが、米国の小売業者も標的にし始めたと警告した。
「Google Threat Intelligence Group のチーフアナリストである John Hultquist 氏は、「現在、米国の小売業がランサムウェアや恐喝の標的になっているが、これは Scattered Spider としても知られる UNC3944 との関連が疑われている。
「この行為者は、長い休止期間を経て英国で小売業をターゲットにしていると報じられているが、一度に一つのセクターに努力を集中させた過去があり、当面はこのセクターをターゲットにし続けると予想される。米国の小売業者は注目すべきだ。”
が最初に報じたように、英国の小売大手Marks & Spencer(M&S)は、脅威行為者がVMware ESXiホスト上の仮想マシンをDragonForce暗号化装置で暗号化するランサムウェア攻撃で最初に侵入された。この攻撃はOcto Tempest(マイクロソフトによるScattered Spiderの名称)に起因するものだった。
Co-opもまたサイバーインシデントに見舞われ、攻撃者が多くの現会員および元会員からデータを盗んだことが確認された。ハロッズも5月1日、攻撃者がネットワークへの侵入を試みた後、サイトへのインターネット・アクセスを制限せざるを得なかったことを公表しており、侵入はまだ確認されていないものの、サイバー攻撃への積極的な対応を示唆している。
DragonForceランサムウェアの作戦は、3つの攻撃すべてを主張し、これらの攻撃を指揮した攻撃者が、Scattered Spider脅威行為者に関連する同じソーシャル・エンジニアリング戦術を使用したことを知りました。DragonForceは2023年12月に浮上し、最近、他のサイバー犯罪グループが自分たちのサービスをホワイトラベル化できるように設計された新しいサービスの宣伝を始めた。
Scattered Spiderが4月に英国の小売業者を標的にし始めて以来、英国国家サイバーセキュリティセンター(NCSC)は、英国の組織がサイバーセキュリティの防御を強化するためのガイダンスを発表し、また、これらのサイバー攻撃は、そのいずれかが次の標的になる可能性があるため、「警鐘」とみなすべきだと警告している。
英国NCSCは、これらのインシデントが特定のハッキング・グループや脅威行為者に起因するものであるとはまだ断定しておらず、被害者と協力してそれを見極めようとしていると述べた。
NCSCは、「われわれには洞察力があるが、これらの攻撃がリンクしているのか、単一の行為者による協調的なキャンペーンなのか、あるいはそれらの間にまったくリンクがないのか、まだ言える状況にはない」と述べている。「我々は、被害者や法執行機関の同僚と協力して、それを確認しようとしている。
Scattered Spiderの脅威行為者
Scattered Spider(0ktapus、UNC3944、Scatter Swine、Starfraud、Muddled Libraとしても追跡されている)は、フィッシング、SIMスワッピング、多要素認証(MFA)ボミング(標的型MFA疲労としても知られている)を含む洗練されたソーシャル・エンジニアリング攻撃で、世界中の多くの有名な組織に侵入したことで知られる脅威行為者の流動的な集団を表すために使用される用語である。
彼らの攻撃は2023年9月にMGMリゾートに侵入した際にエスカレートし、ITヘルプデスクに電話する際に従業員になりすましてネットワークに侵入した後、BlackCatランサムウェアを使用して100台以上のVMware ESXiハイパーバイザーを暗号化しました。
それ以来、彼らはRansomHub、Qilin、そして現在はDragonForceを含む様々な他のランサムウェアオペレーションの関連会社としても活動している。Scattered Spiderに関連する他の攻撃には、Twilio、Coinbase、DoorDash、Caesars、MailChimp、Riot Games、Redditなどがある。
また、Scattered Spiderの脅威行為者の中には、サイバー攻撃や暴力行為に関与し、しばしばメディアの注目を集めている緩くつながったコミュニティ「Com」の一員であると考えられている者もいる。
これらのサイバー犯罪者は16歳と若く、ほとんどが英語を話し、同じTelegramチャンネル、Discordサーバー、ハッカーフォーラムに頻繁に出入りし、リアルタイムで攻撃を計画・実行している。
報道機関やセキュリティ研究者は、この集団が結束したギャングであると表現するために「Scattered Spider」を頻繁に使用していますが、これは攻撃時に特定の戦術を使用する脅威行為者の緩く結束したグループを指しており、彼らの活動を追跡することを困難にしています。
「これらのアクターは攻撃的で創造性に富み、成熟したセキュリティ・プログラムを回避することに特に長けています。彼らは、ソーシャル・エンジニアリングを駆使し、サードパーティを活用してターゲットに侵入することで多くの成功を収めています。
ScatteredSpiderの手口や防御を強化する方法については、当社の過去のレポートや新しいCTM360レポートをご覧ください。
.ia_ad { background-color:#width: 95%; max-width: 800px; margin: 15px auto; border-radius: 8px; border:1px solid #d6ddee; display: flex; align-items: stretch; padding: 0; overflow: hidden; }:0; overflow: hidden; } .ia_lef { flex: 1; max-width: 200px; height: auto; display: flex; align-items: stretch; } .ia_lef a { display: flex; width: 100%; height: 100%; } .ia_lef a img { width: 100%; height: 100%; object-fit: cover; border-radius: 8px 0 0 8px; margin: 0; display: block; } .ia_rig { flex: 2; padding:display: flex; flex-direction: column; justify-content: center; } .ia_rig h2 { font-size: 17px !important; font-weight: 700; color:#line-height: 1.4; font-family:margin: 0 0 14px 0; } .ia_rig p { font-weight: bold; font-size: 14px; margin: 0 0 clamp(6px, 2vw, 14px) 0; } .ia_button { background-color:#border:1px solid #3b59aa; color: black; text-align: center; text-decoration: none; border-radius: 8px; display: inline-block; font-size: 16px; font-weight: bold; cursor: pointer; padding:10px 20px; width: fit-content; } .ia_button a { text-decoration: none; color: inherit; display: block; } @media (max-width: 600px) { .ia_ad { flex-direction: column; align-items: center; text-align: center; } .ia_lef { max-width: 100%; } .ia_lef a img { border-radius: 8px 8px 0 0; } .ia_rig { padding:15px; width: 100%; } .ia_button { width: 100%; } .
攻撃の93%を支えるMITRE ATT&CK©テクニック・トップ10
1,400万件の悪意のあるアクションの分析に基づき、攻撃の93%を支えるMITRE ATT&CKテクニックのトップ10とその防御方法をご覧ください。
Comments