Source: https://thehackernews.com/2025/09/scattered-spider-resurfaces-with.html
🛡 概要
サイバーセキュリティ研究者は、金融サービスを狙った新たなサイバー攻撃が悪名高いサイバー犯罪グループ「スキャッタードスパイダー」に関連していることを明らかにしました。このグループは、活動を停止するという主張を行っていましたが、実際にはその動向が疑問視されています。最近、金融業界向けの類似ドメインの増加が確認されており、アメリカの銀行機関に対する標的型侵入も報告されています。
🔍 技術詳細
リライアクエストによると、スキャッタードスパイダーは、エグゼクティブのアカウントを社会工学的手法で乗っ取り、Azure Active Directoryの自己サービスパスワード管理を通じてパスワードをリセットすることで最初のアクセスを得ました。そこから、ITおよびセキュリティ関連の機密文書にアクセスし、Citrix環境やVPNを介して横移動し、VMware ESXiインフラストラクチャを侵害して資格情報をダンプし、ネットワーク内にさらに侵入しました。特権昇格を達成するために、攻撃者はVeeamサービスアカウントのパスワードをリセットし、Azure Global Administrator権限を付与し、検出を回避するために仮想マシンを移動させました。また、SnowflakeやAmazon Web Services(AWS)などからデータを抽出しようとした形跡もあります。
⚠ 影響
スキャッタードスパイダーの最近の活動は、彼らが他の14の犯罪グループと共に活動を停止するという主張を裏切るものであり、特に金融セクターにおいては深刻な影響を及ぼす可能性があります。被害を受ける組織は、データ漏洩や経済的損失のリスクを抱えており、特にこのようなグループが再び活動を活発化させている状況では、警戒が必要です。リライアクエストは、組織に対し、常に警戒を怠らないように呼びかけています。サイバー犯罪集団は、表向きの「引退」を宣言しても、実際には再編成や再ブランド化を行う可能性が高いのです。
🛠 対策
組織は、スキャッタードスパイダーのような攻撃者に対抗するために、強固なセキュリティ対策を講じる必要があります。まず、従業員に対する社会工学的攻撃に関する教育を実施し、疑わしいメールやリンクに対する警戒心を高めることが重要です。また、パスワード管理や多要素認証の導入により、アカウントの安全性を確保することが求められます。さらに、ネットワークの監視とログの分析を強化し、不審な活動を早期に発見できる体制を整えることが大切です。最後に、定期的なセキュリティ評価を行い、脆弱性を特定し、適切な対策を講じることで、さらなる攻撃からの防御を強化することができます。
