サイバー犯罪グループShinyHuntersが音声フィッシング攻撃に犯行声明

サイバー犯罪グループShinyHuntersが、セキュリティ研究者Oktaが以前に開示した音声フィッシングキャンペーンに関連する少なくとも5件の攻撃について犯行声明を出しました。このキャンペーンは、Google、Microsoft、Oktaの環境を標的としており、カスタムフィッシングキットを使用してユーザーの認証情報を傍受し、多要素認証（MFA）をスキップさせるよう標的ユーザーを誘導する能力がありました。

セキュリティ研究者による調査と新たな詳細

セキュリティ研究者のAlon Gal氏は、ShinyHuntersから接触を受け、音声フィッシングキャンペーンに関連して少なくとも3社（後に5社に訂正）を恐喝したとの主張があったことをCybersecurity Diveに確認しました。この最初の接触は、Oktaの開示に関するBleeping Computerの記事が掲載された後に行われました。この報告では、Oktaのシングルサインオンアカウントが攻撃の標的になったとされています。

Sophosの研究者らは、データ窃盗と恐喝要求につながる音声フィッシングキャンペーンで使用された、12月に作成された約150のドメインのクラスターを追跡していると述べています。Sophosの脅威インテリジェンス部門のディレクター、Rafe Pilling氏は、「全てのドメインが使用されたわけではないが、脅威アクターはシングルサインオンサービスを模倣し、Oktaのような認証プロバイダーを装って、標的に特化したドメインを作成している」と述べています。

関係各社の対応と声明

Google Threat Intelligence Groupは、この脅威活動を追跡していることを確認しましたが、詳細の共有は控えました。Googleの広報担当者は、Googleもその製品もソーシャルエンジニアリングキャンペーンの影響を受けていないと述べました。

Oktaの担当者は、Googleの研究者によるいかなる調査についても特定の情報はないが、Googleがこれらの攻撃を調査しているとすれば、それは侵害された組織からの要請によるものであり、Oktaからのものではないと述べました。Oktaは声明で、「Oktaのプラットフォームとサービスは安全なままですが、Oktaは進化するソーシャルエンジニアリング技術に対する意識を高め、顧客のより強力な防御を支援するために、これらの進化する技術に注意を喚起しています」と強調しました。

Microsoftの広報担当者は、現時点では共有できる情報はないが、必要であれば将来的にアップデートを提供すると述べました。

元記事: https://www.cybersecuritydive.com/news/cybercrime-group-voice-phishing-attacks-Okta/810493/