はじめに
Googleは、サイバー犯罪グループShinyHuntersに関連する恐喝キャンペーンと一致する戦術を用いたサイバー犯罪活動が、大幅に拡大していることを明らかにしました。これらの高度な作戦では、高度なボイスフィッシング(ビッシング)や、被害者ブランドを模倣した認証情報収集ウェブサイトを利用し、シングルサインオン(SSO)認証情報と多要素認証(MFA)コードを盗むことで、企業環境を侵害しています。標的となるクラウドプラットフォームの範囲は拡大を続けており、脅威アクターは恐喝目的でますます機密性の高いデータを狙っています。
進化した攻撃手法
2026年1月中旬にかけて、UNC6661はITスタッフになりすまして標的組織の従業員に接触し、MFA設定が更新されていると偽って伝えました。Google脅威インテリジェンスグループ(GTIG)は、この活動の拡大をUNC6661、UNC6671、UNC6240という複数の脅威クラスターで追跡し、進化するパートナーシップと潜在的ななりすまし戦術をより深く理解しました。脅威アクターは、被害者を「companyname-sso.com」や「companyname-internal.com」といった形式の認証情報収集ドメインに誘導し、NICENICを通じて登録されたこれらのドメインで、自身のデバイスを認証に登録する前にSSO認証情報とMFAコードを窃取しました。この活動は、複数のOkta顧客に影響を与えています。
初期の侵害後、UNC6661は被害者の環境内で横方向に移動し、SharePoint、Salesforce、DocuSign、SlackなどのさまざまなSaaSプラットフォームからデータを持ち出しました。分析によると、脅威アクターは、「confidential(機密)」「internal(社内)」「proposal(提案書)」「vpn」などのキーワードを含む文書や、クラウドアプリケーションに保存されている個人情報(PII)をターゲットにして検索を行っていました。
巧妙な永続化戦略
Okta顧客アカウントが関与した少なくとも1つの事例では、UNC6661は被害者のGoogle Workspaceアカウントで「ToogleBox Recall」アドオンを有効にしました。これは、メールを検索して完全に削除するためのツールです。脅威アクターはその後、Oktaからの「Security method enrolled(セキュリティメソッド登録済み)」というメールを削除し、従業員が不正なMFAデバイス登録を発見するのを防ぎました。さらに、UNC6661は侵害したメールアカウントを利用して、仮想通貨関連企業の連絡先にフィッシングメールを送信し、その後、悪意のある活動を隠蔽するために送信済みメッセージを削除するという、運用上の高度な手口を示しました。これは、脅威アクターがアクセスを拡大したり、その後の作戦を実行したりするために、潜在的な被害者との関係を構築している可能性を示唆しています。
UNC6240による恐喝活動
GTIGは、共通のToxアカウント、ShinyHuntersブランドの恐喝メール、盗まれたデータサンプルのLimewireホスティングといった重複に基づいて、その後の恐喝活動をUNC6240に帰属させています。2026年1月中旬の恐喝メールでは、ビットコインアドレスと共に支払い金額が指定され、72時間以内に身代金が支払われない場合は結果を招くと脅迫していました。最近の事例では、被害者への嫌がらせ、従業員への恐喝テキストメッセージ、被害者ウェブサイトへの分散型サービス拒否(DDoS)攻撃など、ますます攻撃的な戦術が見られます。2026年1月下旬には、これらの作戦からとされる複数の被害者をリストアップした新しいShinyHuntersブランドのデータリークサイトが出現しました。
UNC6671による並行作戦
2026年1月上旬から、UNC6671は同様のビッシング作戦を実施しましたが、NICENICではなくTucowsを通じて登録されたドメインを使用しました。Mandiantは、UNC6671がPowerShellを利用してSharePointとOneDriveから機密データをダウンロードした証拠を観測しています。TTP(戦術、技術、手順)はUNC6661と一貫していましたが、恐喝メールはブランド化されておらず、Tox IDも異なっていたことから、別個の個人が関与している可能性が示唆されています。
組織への推奨事項
組織は、プッシュベースやSMS認証とは異なり、ソーシャルエンジニアリングに耐性のあるFIDO2セキュリティキーやパスキーのようなフィッシング耐性のあるMFAメソッドへの移行を優先すべきです。Googleは、この活動がベンダー製品のセキュリティ脆弱性ではなく、ソーシャルエンジニアリングを悪用していることを強調しています。Mandiantは、これらの進化する脅威から組織を守るための包括的な強化および検出に関する推奨事項を公開しています。