はじめに：ShinyHuntersの脅威エスカレーション

研究者たちは、悪名高いハッキンググループShinyHuntersに関連する恐喝キャンペーンが、その戦術をエスカレートさせていると警鐘を鳴らしています。このグループは先月下旬、ボイスフィッシング攻撃を仕掛け、5つの組織に対して恐喝を行ったことを主張しました。

このキャンペーンは、ソーシャルエンジニアリングを駆使して被害者のシステムへのアクセスを試みる複数のクラスターによって追跡されています。

攻撃手法の詳細：ボイスフィッシングと認証情報詐取

Google脅威インテリジェンスグループ（GTIG）のインシデント対応部門であるMandiantによると、ShinyHunters関連の複数のグループは、ボイスフィッシングと被害者ブランドの認証情報収集サイトを悪用しています。これにより、彼らはシングルサインオン（SSO）の認証情報や多要素認証（MFA）コードを入手し、企業環境へのアクセス権を獲得します。

一度アクセスに成功すると、これらの脅威グループはクラウドベースのSoftware-as-a-Service（SaaS）アプリケーションを標的にし、機密データやその他の内部文書を窃取します。これらは将来的な恐喝キャンペーンに利用されます。

関連する脅威グループと戦術

GTIGの研究者たちは、このキャンペーンに関与する脅威グループをUNC6661、UNC6671、UNC6240として追跡しています。特に顕著な戦術は以下の通りです。

• UNC6661の活動：1月中旬以降、UNC6661のハッカーはITスタッフになりすまして被害企業の従業員に電話をかけました。彼らは、会社が多要素認証の設定を更新していると虚偽の主張をし、従業員を偽の認証情報収集サイトに誘導しました。これにより、MFAコードとSSO認証情報が窃取されました。

• Okta顧客への影響：Mandiantは、いくつかのケースでハッカーがOkta顧客のPaaS環境へのアクセスに成功したことを確認しました。この活動は、Oktaが1月に公開したフィッシングキットを利用したキャンペーンに関するブログ記事でも言及されています。

• UNC6240による恐喝活動：交渉の一部として共通のToxアカウントが使用されるなど、複数の重複する問題に基づき、研究者たちはその後の恐喝活動をUNC6240に関連付けました。恐喝メールには窃取されたデータの詳細が記載され、72時間以内の支払いが要求されました。

• UNC6671の類似攻撃：UNC6671に関連するハッカーも、1月上旬からITスタッフになりすまして同様の攻撃を実施しています。彼らが使用した認証情報収集ドメインはUNC6661と構造が似ていますが、別のサービスで登録されていました。

恐喝とデータ漏洩サイト

研究者たちは、1月下旬に新たなデータ漏洩サイトが立ち上げられ、被害者とされる企業の情報が掲載されていることを確認しました。セキュリティ研究者のAlon Gal氏がCybersecurity Diveに語ったところによると、これまでに5つの組織に対するハッキングが主張されています。

元記事: https://www.cybersecuritydive.com/news/shinyhunters-tactics-extortion-okta-environ/811112/