イメージミッドジャーニー
FBIは、少なくとも2024年1月以降、金銭的な動機に基づくハッキンググループがギフトカード部門の従業員をターゲットにフィッシング攻撃を仕掛けているとして、米国の小売企業に警告を発した。
Storm-0539として追跡されているこのハッキング・グループは、多要素認証を回避できる巧妙なフィッシング・キットを使って、小売部門のスタッフの個人用および仕事用のモバイル・デバイスを標的にしている。
従業員のアカウントに侵入すると、攻撃者はネットワーク内を横方向に移動し、ギフトカードのビジネスプロセスを特定しようとし、この特定のポートフォリオにリンクされた侵害されたアカウントに軸足を移す。
ギフト・カード部門の担当者のログイン認証情報を盗むことに加え、彼らの努力はセキュア・シェル(SSH)のパスワードとキーの取得にまで及んでいます。名前、ユーザー名、電話番号などの盗まれた従業員情報とともに、これらは金銭的利益のために売られたり、将来の攻撃でStorm-0539によって悪用される可能性がある。
ハッカーが被害者の企業のギフトカード部門への侵入に成功した場合、彼らは侵害された従業員アカウントを使用して不正なギフトカードを生成します。
「ある企業では、STORM-0539による不正なギフトカードの活動をシステムで検知し、不正なギフトカードの作成を防止するための変更を行いました。
「STORM-0539の行為者はスミッシング攻撃を続け、企業システムへのアクセスを取り戻した。そして、ギフトカードを換金するために、関連するEメールアドレスをSTORM-0539が管理するEメールアドレスに変更しました。
STORM-0539の攻撃に対する防御方法
FBIは、全米の小売企業に対し、インシデント対応計画を見直し、更新し、フィッシング攻撃のリスクと影響を軽減するために、フィッシング詐欺を認識し、電子メール、チャット、電話で認証情報のような機密情報を共有しないよう、従業員へのトレーニングを検討するよう助言しています。
また、ターゲットとなりうる企業は、可能な限り多要素認証を義務付け、最新のアンチウイルスおよびアンチマルウェア・ソリューションを使用し、強固なパスワード・ポリシーを導入し、ネットワーク全体で最小特権の原則を徹底する必要がある。
FBIのPINは、12月中旬にマイクロソフトが発表した警告に続くもので、ホリデーシーズンにStorm-0539ギフトカード詐欺や盗難攻撃が急増するとして注意を促している。
「Storm-0539は、最初のセッションとトークンにアクセスした後、その後の二次認証プロンプトのために自分のデバイスを登録し、MFA保護をバイパスして、完全に侵害されたIDを使用して環境にとどまります」とマイクロソフトは述べています。
「侵害が成功するたびに、Storm-0539は特権をエスカレートさせ、横方向に移動し、特定の情報を収集するためにクラウドリソースにアクセスします。Storm-0539は内部リソースを列挙し、ギフトカード詐欺に使用できるギフトカード関連サービスを特定します。
Comments