Last Updated on 2024-10-24 07:14 by admin

サイバー犯罪グループ「Muddled Libra」が、ソフトウェア・アズ・ア・サービス（SaaS）アプリケーションとクラウドサービスプロバイダー（CSP）環境を積極的に標的にしていることが観察された。このグループは、機密データの窃取とそのデータを利用した脅迫を目的としている。Palo Alto NetworksのUnit 42によると、組織はSaaSアプリケーションに多様なデータを保存しており、攻撃者はこれらのデータを攻撃の進行や脅迫に利用しようとしている。

Muddled Libraは、Starfraud、UNC3944、Scatter Swine、Scattered Spiderとも呼ばれ、高度なソーシャルエンジニアリング技術を駆使してターゲットネットワークへの初期アクセスを得ることで知られている。米国政府のアドバイザリーによると、このグループは「生活の地」技術や許可されたアプリケーションを使用して検出を回避し、TTP（戦術、技術、手順）を頻繁に変更している。

Muddled Libraは、Oktaクロステナント偽装攻撃を利用して、2023年7月下旬から8月初旬にかけてIAM制限を回避し、SaaSアプリケーションや組織の様々なCSP環境へのアクセスを実現した。攻撃者は、管理者ユーザーを特定し、ヘルプデスクスタッフを装って電話でパスワードを取得するなどの偵察技術を使用している。

Muddled Libraは、Amazon Web Services（AWS）やMicrosoft Azureなどのサービスを標的にし、AWS DataSyncやAWS Transfer、スナップショット技術を利用してデータを外部に移動させる。この戦術の変化は、組織に対して、身元確認ポータルをハードウェアトークンや生体認証などの強力な二次認証保護で確保することを要求している。

【ニュース解説】

サイバー犯罪グループ「Muddled Libra」が、ソフトウェア・アズ・ア・サービス（SaaS）アプリケーションとクラウドサービスプロバイダー（CSP）環境を新たな攻撃の舞台として選んでいることが明らかになりました。このグループは、組織がSaaSやCSPに保存している機密データを盗み出し、それを利用して脅迫を行うことを目的としています。

Muddled Libraは、高度なソーシャルエンジニアリング技術を用いてターゲットのネットワークに侵入し、その後、様々な手法を駆使して検出を避けながら活動を続けています。特に、IAM（Identity and Access Management）の制限を回避することで、Oktaを利用したSaaSアプリケーションやCSP環境へのアクセスを可能にしています。

このグループは、管理者ユーザーを特定し、彼らを騙してパスワードを入手するなど、巧妙な偵察技術を使用しています。また、Amazon Web Services（AWS）やMicrosoft Azureなどのサービスを標的にし、データを外部に移動させるためにAWS DataSyncやスナップショット技術などを利用しています。

このような攻撃の増加は、組織にとって、身元確認ポータルをより強固に保護することの重要性を示しています。特に、ハードウェアトークンや生体認証などの強力な二次認証保護が推奨されます。

Muddled Libraの活動は、サイバーセキュリティの世界において、攻撃者が常に新しい手法を模索し、進化していることを示しています。SaaSアプリケーションやCSP環境は、多くの組織にとって重要な資産であり、これらを守るためには、セキュリティ対策を常に最新の状態に保つ必要があります。また、攻撃者が利用する可能性のある新たな脅威に対しても、警戒を怠らないことが求められます。

このニュースは、サイバーセキュリティの専門家だけでなく、一般のビジネスオーナーやIT担当者にとっても、クラウドサービスを利用する際のリスクを再認識し、適切な対策を講じるきっかけとなるでしょう。また、サイバー攻撃の手法が日々進化していることを理解し、防御策を常に更新し続けることの重要性を改めて認識する機会となります。

from Muddled Libra Shifts Focus to SaaS and Cloud for Extortion and Data Theft Attacks.