サイバーニュース.jp

世界のサイバーなニュースを配信

Mandiant、ShinyHuntersによるSSO悪用とクラウドデータ窃盗の手口を詳述

カテゴリ:

はじめに:巧妙化するサイバー攻撃集団ShinyHunters

サイバー攻撃集団ShinyHuntersが、SSO(シングルサインオン)認証情報を悪用し、クラウドデータを窃取する新たな手口を展開していることがMandiantの調査で明らかになりました。彼らは標的型ボイスフィッシング(ビッシング)と偽の企業ブランドフィッシングサイトを組み合わせることで、多要素認証(MFA)コードをも突破し、企業データの窃盗と恐喝を行っています。

攻撃の手口:ビッシングとリアルタイムフィッシング

ShinyHuntersは、企業IT部門やヘルプデスクになりすまし、従業員に直接電話をかけ、「MFA設定の更新が必要である」と偽って騙します。通話中、被害者は自社のログインポータルに酷似したフィッシングサイトに誘導されます。Oktaによると、これらのサイトは高度なフィッシングキットを使用しており、攻撃者は被害者と通話しながらリアルタイムで認証情報を窃取し、正規のMFAチャレンジを発動させます。被害者に対してプッシュ通知の承認やワンタイムパスコードの入力などを指示することで、攻撃者はMFAを突破し、自身のデバイスをMFAに登録することに成功します。

侵害後の行動:SSOダッシュボードを足がかりに

アカウントへのアクセス権を獲得すると、攻撃者は組織のOkta、Microsoft Entra、またはGoogle SSOダッシュボードにログインします。このダッシュボードは、ユーザーがアクセス許可を持つすべてのSaaSアプリケーションを一覧表示する集中ハブとして機能します。Salesforce、Microsoft 365、SharePoint、DocuSign、Slack、Atlassian、Dropbox、Google Driveなど、多岐にわたるクラウドアプリケーションが標的となります。

データ窃盗と恐喝を目的とする攻撃者にとって、SSOダッシュボードは企業のクラウドデータへの足がかりとなり、単一の侵害されたアカウントから複数のサービスにアクセスすることが可能になります。

Mandiantによる脅威クラスターの追跡

Google Threat Intelligence Group/Mandiantは、この活動を以下の複数の脅威クラスターとして追跡しています。

  • UNC6661: ITスタッフを装って従業員に電話をかけ、偽の企業ブランドフィッシングドメインに誘導してSSO認証情報とMFAコードを窃取します。ログイン後、自身のMFAデバイスを登録してアクセスを維持し、侵害したSSOセッションを通じて利用可能なSaaSアプリケーションからデータを窃取します。この活動は機会主義的であると考えられています。
  • UNC6240 (ShinyHunters): 恐喝行為を担当するクラスターです。UNC6661によって窃取されたデータに対して恐喝要求を行います。
  • UNC6671: UNC6661と同様のビッシング手法を使用しますが、フィッシングドメインの登録業者や恐喝要求のスタイルが異なります。より積極的なプレッシャー戦術を用いることで知られています。

データ窃盗の証拠と隠蔽工作

Mandiantは、データ窃盗攻撃中に作成されたログの例を共有しています。これには、PowerShellのUser-AgentがSharePointやOneDriveにアクセスしてファイルをダウンロードしたMicrosoft 365およびSharePointイベント、脅威アクターが使用したIPアドレスからのSalesforceログインアクティビティ、DocuSignの監査ログに見られる大量ドキュメントダウンロードなどが含まれます。

特筆すべきは、攻撃者がOkta顧客のGoogle Workspaceアカウントで「ToogleBox Recall」というアドオンを有効にし、メールを検索して削除することで自身の活動を隠蔽していた事例です。これにより、MFAデバイスの新規登録通知メールなどが削除され、従業員が侵害に気づくのを防いでいました。

防御策と推奨事項

組織がこれらの攻撃から身を守るために、Mandiantは以下の行動検出を優先するよう推奨しています。

  • SSOアカウントの侵害後、SaaSプラットフォームからの迅速なデータ流出
  • PowerShell User-AgentによるSharePointまたはOneDriveへのアクセス
  • ToogleBox Recallのための予期せぬGoogle Workspace OAuth承認
  • MFA変更通知メールの削除

また、MandiantはShinyHuntersのビッシング攻撃に対する強化策、ロギング、検出に関する推奨事項をリリースしています。これには、IDワークフローと認証リセットの強化、適切なテレメトリのロギング、データ窃盗が発生する前のビッシング後の行動を検出するための設計された検出機能が含まれます。

元記事: https://www.bleepingcomputer.com/news/security/mandiant-details-how-shinyhunters-abuse-sso-to-steal-cloud-data/

投稿をさらに読み込む