サイバーセキュリティ企業Mandiantは、UNC3944として追跡している脅威アクターが、企業のSaaSアプリケーションデータを狙う攻撃に焦点を広げていると報告した。このグループは、英語を話すとされ、Scattered Spider、Scatter Swine、Octo Tempest、0ktapusとしても知られている。過去10ヶ月間で、この脅威アクターはMicrosoftのクラウド環境やオンプレミスのインフラストラクチャに加え、企業のSaaSアプリケーションデータに対する攻撃を行ってきた。
UNC3944は、SIMスワッピング戦術や高度なクレデンシャルフィッシングスキルを用い、企業のヘルプデスクに電話をかけてOktaの認証情報をリセットし、アカウントを乗っ取る手法を使用している。このグループは、vCenter、CyberArk、Salesforce、Azure、CrowdStrike、AWS、Google Cloud PlatformなどのSaaSアプリケーションへの不正アクセスを行い、データをAmazon S3バケットなどのクラウドストレージリソースに転送している。
Mandiantの報告によると、UNC3944はソーシャルエンジニアリングを主要な手法としており、企業のSaaSアカウントへのアクセスに必要な認証情報を取得するために、ヘルプデスクスタッフに明瞭な英語で電話をかけている。攻撃者は、ヘルプデスク管理者の初期ユーザー認証チェックを通過するために必要な、犠牲者の個人情報の詳細を持っているように見える。
また、UNC3944は被害者の環境に新しい仮想マシンを作成し、持続性を確保する手段としている。このグループは、VMware vSphereやMicrosoft Azureのクラウド環境にSSOアプリを使用してアクセスし、新しい仮想マシンを作成した後、特定のツールを使用してVMを再構成し、Microsoft Defenderの保護とフォレンジック調査に役立つテレメトリーを削除している。Mandiantは、VPNアクセスにホストベースの証明書とMFAを使用し、クラウドテナント内で見えるものを制限する厳格な条件付きアクセスポリシーを作成することを組織に推奨している。
【ニュース解説】
サイバーセキュリティの分野で、企業のソフトウェア・アズ・ア・サービス(SaaS)アプリケーションを狙った攻撃が増加しています。特に、UNC3944として知られる脅威アクターが、その攻撃の焦点を広げ、企業のSaaSアプリケーションデータを標的にしていることが、サイバーセキュリティ企業Mandiantの報告で明らかになりました。このグループは、英語を話すとされ、Scattered Spider、Scatter Swine、Octo Tempest、0ktapusとしても知られています。
UNC3944は、SIMスワッピング戦術や高度なクレデンシャルフィッシングスキルを駆使し、企業のヘルプデスクに電話をかけてOktaの認証情報をリセットし、アカウントを乗っ取る手法を使用しています。このグループは、vCenter、CyberArk、Salesforce、Azure、CrowdStrike、AWS、Google Cloud PlatformなどのSaaSアプリケーションへの不正アクセスを行い、データをAmazon S3バケットなどのクラウドストレージリソースに転送しています。
攻撃者はソーシャルエンジニアリングを主要な手法としており、企業のSaaSアカウントへのアクセスに必要な認証情報を取得するために、ヘルプデスクスタッフに明瞭な英語で電話をかけています。攻撃者は、ヘルプデスク管理者の初期ユーザー認証チェックを通過するために必要な、犠牲者の個人情報の詳細を持っているように見えます。
さらに、UNC3944は被害者の環境に新しい仮想マシンを作成し、持続性を確保する手段としています。このグループは、VMware vSphereやMicrosoft Azureのクラウド環境にSSOアプリを使用してアクセスし、新しい仮想マシンを作成した後、特定のツールを使用してVMを再構成し、Microsoft Defenderの保護とフォレンジック調査に役立つテレメトリーを削除しています。
このような攻撃の増加は、企業がSaaSアプリケーションのセキュリティを強化する必要性を示しています。Mandiantは、VPNアクセスにホストベースの証明書と多要素認証(MFA)を使用し、クラウドテナント内で見えるものを制限する厳格な条件付きアクセスポリシーを作成することを推奨しています。また、SaaSアプリケーションの監視を強化し、重要なSaaSベースのアプリケーションからのログを集約することも重要です。
この攻撃の増加は、企業にとって新たな課題を提示しています。SaaSアプリケーションは、その利便性から多くの企業で採用されていますが、それに伴いセキュリティリスクも高まっています。攻撃者は常に新しい手法を模索しており、企業はセキュリティ対策を常に更新し、従業員の教育を徹底することが求められます。このような攻撃に対する防御策の強化は、企業のデータ保護戦略の重要な部分となります。
