企業データを狙うサイバー犯罪グループ「UNC6040」に要注意
Googleの脅威インテリジェンスチーム(GTIG)は、サイバー犯罪グループ「UNC6040」が企業向けクラウドサービス「Salesforce(セールスフォース)」を悪用し、組織的なボイスフィッシング(音声による詐欺)攻撃を展開していると発表しました。狙いは企業の内部データを金銭目的で盗み出すことにあります。
GTIGの調査によると、UNC6040はセールスフォースの正規アプリではなく、改ざんされた「コネクテッドアプリ」のインストールを被害者に促し、機密データへのアクセスを試みました。攻撃者はITサポートを装って電話をかけ、正規の「Salesforce Data Loader」に見せかけたマルウェアをインストールさせようとしました。
この手法は、システムの技術的な脆弱性を突くのではなく、従業員の「信頼」を悪用する点が特徴です。標的となったのは、米国およびヨーロッパにおける観光、小売、教育など複数の業界にわたる企業で、現時点で少なくとも20の組織が被害を受けたとされています。
一部のケースでは、侵入から数か月後に情報の売買や脅迫が行われたとの報告もあります。GTIGは、UNC6040が他の犯罪組織と連携し、盗んだデータを商業的に流用している可能性が高いと見ています。攻撃者は被害者に圧力をかけるため、有名なハッカー集団「ShinyHunters(シャイニーハンターズ)」との関係を示唆することもあったようです。
さらにGTIGは、UNC6040の使用するインフラや攻撃手法が、サイバー犯罪ネットワーク「The Com(ザ・コム)」と一致している点にも注目しています。このグループには、以前から活動が確認されている「Scattered Spider(スキャッタード・スパイダー)」なども含まれており、フィッシングページを通じてMFA(二要素認証)情報を搾取したり、VPNサービス「Mullvad(ミュルヴァド)」を用いて痕跡を隠すなどの手口が見られました。
現在も攻撃は継続しており、GTIGは企業に対し、従業員へのセキュリティ教育やアクセス権限の厳格な管理体制を強化するよう呼びかけています。
