Microsoft 警告:最も危険なサイバー犯罪集団 0ktapus の分析結果を参照してほしい

Microsoft: 0ktapus Cyberattackers Evolve to ‘Most Dangerous’ Status

2023/10/27 DarkReading — Microsoft の 0ktapus サイバー攻撃集団に対する評価は、最も危険な金融犯罪集団のひとつであり、しかもますます巧妙になっているというものだ。最近になって 0ktapus は、MGM と Caesars Entertainment に対して、ランサムウェアによる破壊的な攻撃を行ったことで話題になった。このグループは、Microsoft が Scatter Swine/UNC3944 とも呼ぶ Octo Tempest であり、英語圏に属している。このグループは、通常、敵対的中間者 (AitM) や、ターゲットへの電話を伴うソーシャル・エンジニアリング、SIM スワッピングなどの攻撃を行っている。また、暗号通貨の窃盗/データ流出による恐喝/ランサムウェア攻撃なども行うとされている。


そして、2023年半ばに0ktapus は、BlackCat/ALPHV のアフィリエイトとなっている。2023年9月のカジノ/ホスピタリティへの攻撃で成功を収めているが、2022年8月の広範な Twilio 流出などの一連の攻撃で、Okta 認証情報の侵害にも成功し、その名を知られるようになった。

今週に公表された Microsoft の詳細な分析結果によると、この脅威アクターのキャンペーンは進化し続けている。したがってユーザー組織は、その洗練された水準に対して、積極的に準備する必要があると思われる。

0ktapus の武器庫を詳しく調べた Microsoft 報告書には、「Octo Tempest が複雑なハイブリッド環境をナビゲートし、機密データを漏洩し、データを暗号化するために、多様な戦術を活用していることが観察された。Octo Tempest は、多くの犯罪組織の脅威モデルには無い技能を有している。Octo Tempest の攻撃は、効果的に組織化され、頻繁に発生している。つまり、広範で奥行きのある技術と、複数の実践的な攻撃要員の存在が示唆される」と記されている。

0ktapus のユニークなテクニック

たとえば、最近の 0ktapus は、データ移動プラットフォームである Azure Data Factory と、自動化された開発パイプラインを利用した、独自の手法に転じたと Microsoft は警告している。その目的は、攻撃者が制御する Secure File Transfer Protocol (SFTP) サーバを介してデータを流出させ、被害者の合法的なビッグデータ運用に紛れ込むことにあるようだ。

Microsoft は、「さらに、この脅威アクターは、Veeam/AFI Backup/CommVault などの正規の Microsoft 365 バックアップ・ソリューションを登録して、SharePoint ドキュメント・ライブラリのコンテンツの流出を促進するのが通常である」と述べている。

KnowBe4 の Data-Driven Defense Evangelist である Roger Grimes は、0ktapus の攻撃や動機は多岐にわたるため、ユーザー組織には課題が残されると指摘している。

Roger Grimes は、「これらの攻撃のリスクを軽減するために、それぞれのユーザー組織は、ポリシー/技術的防御/教育の最適な組み合わせを用いて、徹底的なサイバー防御プランを作成する必要がある。このような攻撃の手口と巧妙さは、従業員の間で共有されるべきだ。そして、彼らにとって多くの事例が必要となる。従業員は各種のサイバー攻撃の手口を認識し、それらを適切に認識/軽減/報告する方法を知る必要がある」と述べている。

彼は、「ソーシャル・エンジニアリングを介した攻撃が 50%〜90% で、パッチが未適用のソフトウェアやファームウェアへの攻撃が 20%〜40% であることが判っている。したがって、この2つの攻撃手法に対抗することが、ユーザー組織が始めるべきことになるだろう」と付け加えている。

MGM Resorts への攻撃に関しては、2023/10/06 の「MGM Resorts のランサムウェア被害額:現時点の総額は $110 Million に達するという」という記事で、すでにお伝えしています。ただし、そのときには、0ktapus の名前はなく、Scattered Spider というサイバー・ギャングが犯行声明を出していましたが、Microsoft では Scatter Swine という名前で追跡しているので、重複しているのかもしれません。