Scattered Spider
Scattered Spider 、ソーシャルエンジニアリング、IDの不正使用、およびインパクトの大きいランサムウェア攻撃を巧妙に使用することで知られる、金銭的動機に基づく脅威行為者です。2022年初頭から活動を開始したこのグループは、急速に進化し、複数の国にまたがる幅広い業界を標的としています。
Scattered Spider由来
Scattered SpiderStorm-0875、LUCR-3、Octo Tempest、Roasted 0ktapus、Scatter Swine、UNC3944などの別名でも知られるSCATTERED SPIDERは、2022年初頭から活動している多発的なe犯罪の敵対者です。SCATTERED SPIDERは、主に欧米諸国を拠点に活動していると考えられており、特に高収益組織に対するインパクトの大きい金融攻撃で知られています。彼らの活動は、クレデンシャルの窃盗やSIMスワッピングから、知名度の高いランサムウェアの展開へと発展し、最終的な目的として恐喝を伴うことが多い。
初期のキャンペーンは、顧客関係管理(CRM)やビジネス・プロセス・アウトソーシング(BPO)企業に焦点を当てていた。しかし、2023年4月までに、ランサムウェアを主要な収益化ツールとして採用し、その活動範囲は拡大しました。2024年に英国と米国の法執行機関が10代の容疑者を逮捕したにもかかわらず、このグループは依然として活動を続けている。
対象国
グループは複数の大陸にまたがる数多くの国々を対象としている。代表的な例は以下の通り:
- アメリカ大陸ではアメリカ、カナダ、ブラジル。
- ヨーロッパではイギリス、ドイツ、イタリア、フランス、スイス。
- アジア太平洋地域の韓国、日本、シンガポール、インド、オーストラリア。
Scattered Spider対象産業
Scattered Spider 特筆すべきは、その対象業界の広さである。その中には以下が含まれる:
- 特に初期のキャンペーンでは、テレコミュニケーションとテクノロジー。
- 小売、金融サービス、消費財の各業界では、ランサムウェアが業務の中心的存在となるにつれ、標的が拡大した。
- 製造業、ホスピタリティ、法律、ヘルスケア、エネルギー、暗号通貨など他のセクターも幅広く、収益性を重視した無差別的な「大物狩り」のアプローチを示している。
Scattered Spider子を散らす
被害者の多くはデリケートな事件であるため名前は伏せられているが、SCATTERED SPIDERが主に影響を与えることは確認されている:
- フォーチュン500社
- 高収益組織
- 機密性の高いユーザーデータや企業規模のインフラにアクセスできる企業
Scattered Spider攻撃方法
スミッシング、ビッシング、ITヘルプデスクへのなりすましなど、高度なソーシャル・エンジニアリングの手口によって達成される。攻撃者はユーザーの信頼を悪用し、認証を回避して侵入します。
彼らは高い権限を持つアカウントをターゲットにしており、多くの場合、IT、セキュリティ、および経営幹部に焦点を当てている。
malware (CS-Paralyzerなど)、セーフモードリブート、レジストリ変更、カスタムUEFIブートキット(BlackLotusなど)を使用して、EDR/AVツールを無効化またはバイパスする。
phishing 、Mimikatz、secretsdump.py、DCSync、RAMキャプチャによって収集。
正規のツールや社内文書を活用し、環境をマッピングする。
RDP、SSH、PSExec、Azureコマンドを通じて、内部の信頼関係を悪用する。
SharePoint、GSuite、社内ファイル共有、電子メールリポジトリからデータを流出させる。
AnyDesk、ScreenConnect、TightVNCなどの malware RMMツールの導入。
Chiselや Plinkのようなツールを活用して、リモートサーバーやTelegramチャンネルにデータをトンネルする。
Alphv、DragonForce、Qilin、RansomHubなどのランサムウェアでデータを暗号化。二重の恐喝を行うこともあります。
スミッシング、ビッシング、ITヘルプデスクへのなりすましなど、高度なソーシャル・エンジニアリングの手口によって達成される。攻撃者はユーザーの信頼を悪用し、認証を回避して侵入します。
彼らは高い権限を持つアカウントをターゲットにしており、多くの場合、IT、セキュリティ、および経営幹部に焦点を当てている。
malware (CS-Paralyzerなど)、セーフモードリブート、レジストリ変更、カスタムUEFIブートキット(BlackLotusなど)を使用して、EDR/AVツールを無効化またはバイパスする。
phishing 、Mimikatz、secretsdump.py、DCSync、RAMキャプチャによって収集。
正規のツールや社内文書を活用し、環境をマッピングする。
RDP、SSH、PSExec、Azureコマンドを通じて、内部の信頼関係を悪用する。
SharePoint、GSuite、社内ファイル共有、電子メールリポジトリからデータを流出させる。
AnyDesk、ScreenConnect、TightVNCなどの malware RMMツールの導入。
Chiselや Plinkのようなツールを活用して、リモートサーバーやTelegramチャンネルにデータをトンネルする。
Alphv、DragonForce、Qilin、RansomHubなどのランサムウェアでデータを暗号化。二重の恐喝を行うこともあります。
Scattered Spider使用したTTP
Vectra AIでScattered Spider 検知 方法
ランサムウェア攻撃を示すVectra AI Platform で利用可能な検出のリスト。
よくあるご質問(FAQ)
Scattered Spider 他の脅威グループと何が違うのですか?
ソーシャル・エンジニアリング、SIMスワッピング、正当なツールを独自にブレンドし、zero-day 必要とせずにセキュリティ・メカニズムを回避する。
Scattered Spider どうやって最初のアクセスを得るのですか?
主に、スミッシング、ビッシング、フィッシングを通じたものである。 phishingを使用して認証情報を取得し、MFA/認証をリセットするようヘルプデスクのエージェントを説得する。
Scattered Spider どのようなmalware ツールを使っていますか?
市販のRMMツール(AnyDeskなど)、ランサムウェア(Alphv、Qilinなど)、カスタムユーティリティ(CS-Paralyzer、Pumpyなど)を組み合わせて使用している。
Scattered Spiderオペレーションは完全に自動化されているのですか?
自動化されたphishing 使用しているが、アクセス後の操作のほとんどはオペレーターの手作業に頼っている。
従来のMFAはScattered Spider防御できるか?
確実ではない。彼らはMFA保護を迂回するために、SIMスワッピング、MFA疲労、SSPRの乱用を使用する。
どのような検出技術が役に立つのか?
SCATTERED SPIDER の活動を特定し、阻止するためには、堅牢なネットワーク検知・応答(NDR)ソリューションの導入が不可欠です。NDRは、敵がRDP、PSExec、暗号化トンネル(Chisel、Plinkなど)のような正規のツールを使用している場合でも、東西南北のトラフィックにおける横方向の移動、C2通信、異常なデータ流出パターンを 検知 ことができます。
妥協の兆候(IoC)とは何か?
ファイル共有サービス(file.ioなど)の使用、通常とは異なるRMM接続、ITヘルプデスクが開始したMFAリセットなどが一般的な指標となる。
Scattered Spider どのようにして持続性を維持しているのか?
ブートキット、スケジュールされたタスク、MFAの新規登録、無効化されたセキュリティツールなどを経由する。
Scattered Spider 毎回ランサムウェアを使うのか?
必ずしもそうではない。ランサムウェアを展開することなく、データの窃盗や恐喝を狙うケースもある。