サイバーニュース.jp

世界のサイバーなニュースを配信

主要ハッカーグループ「LAPSUS$、Scattered Spider、ShinyHunters」間の連携が明らかに

カテゴリ:

, , , , , , , , ,

サイバー犯罪スーパーグループの台頭

LAPSUS$Scattered SpiderShinyHuntersという悪名高い英語圏のサイバー犯罪グループ3つが、戦術の共有、メンバーの重複、共同の公開チャネルを通じて、その境界線を曖昧にしています。これらのグループは、ソーシャルエンジニアリングを悪用してFortune 100企業や政府機関を侵害する、緩やかに連携したサイバー犯罪スーパーグループを形成しています。

連携と「shinysp1d3r」ブランド

2023年から2025年にかけて、これらのグループがSalesforceSnowflakeなどの主要プラットフォームに対する高プロファイルな侵害で直接協力し、共同のRansomware-as-a-Service(RaaS)提供を市場に投入する動きが見られました。

2025年8月には、サイバーセキュリティ研究者らが、Scattered Spider、LAPSUS$、ShinyHuntersを「shinysp1d3r」ブランドの下で統合するTelegramチャネルを発見しました。このチャネルは、脅威の調整、データ漏洩の予告、RaaSサブスクリプションの販売に使用されています。

ShinyHuntersは、Scattered Spiderが初期ネットワークアクセスを提供し、ShinyHuntersのメンバーが大量のデータ流出を処理したことを認めています。LAPSUS$のオペレーターもこれに参加し、共同でSalesforce、Snowflake、その他の主要プラットフォームを標的にしました。

9月12日、FBIは、これらのアライアンスに関連するグループUNC6040およびUNC6395がSalesforce環境を悪用して機密記録を盗んだことについて、FLASHアラートを発令しました。多くのFortune 100企業の被害者がShinyHuntersからの恐喝メールを受け取っており、これは3つのグループによる協調攻撃を裏付けています。

「The Com」ムーブメントとTTPs

LAPSUS$、Scattered Spider、ShinyHuntersは、「The Com」と呼ばれる、若者主導の主に英語圏のサイバー犯罪ムーブメントの一部です。彼らの活動は、「The Comm Leaks」のようなチャネルを通じて増幅され、メンバーは侵害の主張、漏洩通知、リクルートの呼びかけを共有しています。

これらのグループは、以下の戦術、技術、手順(TTPs)に優れています。

  • ソーシャルエンジニアリングとフィッシング: 音声ベースのフィッシング(vishing)、ヘルプデスクのなりすまし、認証情報の窃盗に長けています。ShinyHuntersは最近、Salesforceへの侵入のためにScattered Spiderのvishing戦術を採用しました。
  • MFAバイパスとSIMスワッピング: LAPSUS$が先駆けたSIMスワッピングとMFAボンビング(プッシュ疲労)は、Scattered SpiderやShinyHuntersにも模倣されています。
  • データ窃盗、恐喝、宣伝: 彼らの恐喝キャンペーンには、次にどの被害者のデータを漏洩するかを決定するための公開投票が含まれ、メディアの注目と心理的圧力を最大化しています。
  • ターゲット選択: 金融、テクノロジー、小売、航空(例: Qantas、Allianz、Adidas、Google)など、幅広い分野を共同で標的としています。彼らはVMware ESXi、Salesforce、Snowflakeのクラウドサービス設定ミスを悪用します。

セキュリティアナリストは、この連携を「サイバー犯罪スーパーグループ」と呼び、3つの派閥間で人材とインフラが共有されていることを指摘しています。

最近の動向(2023年~2025年)

  • 新ブランド: 2024年秋の「shinysp1d3r」の発表は、2025年の共同キャンペーンの激化を予見させました。
  • 航空会社への攻撃: 2025年半ばには、Scattered Spiderとそのパートナーによるランサムウェア攻撃がWestJet、Hawaiian、Qantasを襲いました。ShinyHuntersは、vishingを通じてQantasの顧客記録600万件の侵害を主張しています。
  • 小売および通信業界の侵害: 2025年4月には、Scattered SpiderがDragonForceランサムウェアと連携して英国の小売業者(Marks & Spencer、Harrods)を攻撃し、ShinyHuntersはAT&TとT-Mobileの歴史的な侵害で数億件の記録を流出させました。
  • Snowflakeサプライチェーン攻撃: 2024年には、協力者らがSnowflakeの脆弱性を悪用し、1億1000万件以上のAT&T顧客の通話メタデータにアクセスしました。これは、AT&Tが2024年3月に認めたことで確認されています。

組織が取るべき対策

LAPSUS$、Scattered Spider、ShinyHuntersの連携は、サイバー犯罪における新たなパラダイムを示しています。これは、ソーシャルエンジニアリング、クラウド設定ミス、公開チャネルを最大限に活用する、緩やかに連携した若者主導の集団です。彼らの「引退」発表は、おそらく戦術的な一時停止であり、継続的な私的恐喝と将来のブランド変更を可能にしています。

組織は、これらの機敏で社会的に動機付けられた敵対者に対抗するために、厳格なMFAポリシー堅牢なヘルプデスク検証、および継続的なフィッシング認識トレーニングを含む、人間中心の防御を強化する必要があります。進化するこのサイバー犯罪スーパーグループの一歩先を行くためには、継続的な脅威インテリジェンスの共有とプロアクティブなインシデント対応の協力が不可欠です。

元記事: https://gbhackers.com/researchers-map-links-between-major-hacker-groups-lapsus-scattered-spider-shinyhunters/

投稿をさらに読み込む