イントロダクション
In 2025年8月、Telegramチャンネル 「散らばるLAPSUS$ハンター」 悪名高いサイバー犯罪グループと関連していることが判明した。 散らばる蜘蛛, シャイニーハンターズ, LAPSUS $このグループはすぐに盗んだデータ、身代金要求、挑発的な発言を投稿し始め、かつてLAPSUS$が引き起こした混乱を再び巻き起こした。その名前は、 「ザ・コム」は、アクターがツールや身元を共有することが多い地下ネットワークであり、アトリビューションを複雑にしています。以前のブログで取り上げたように、 GoogleとSalesforceの侵害このような重複は、UNC3944 (Scattered Spider)、UNC5537、UNC6040 などのクラスター間でよく見られます。
Scattered LAPSUS$ Shiny Hunters(SLSH)グループは、Oracle E-Business Suiteに存在するCVE-2025-61882の脆弱性を突くエクスプロイトコードを共有したと報じられています。この脆弱性は、認証されていないリモートコード実行を許します。Oracleはこの問題を確認し、Mandiantが2025年8月にClopランサムウェアグループがこの脆弱性を悪用してデータを窃取し、身代金キャンペーンを実行したと明らかにした後、緊急パッチをリリースしました。9月には、SLSHと関係のあるハッカーがDiscordのサードパーティプロバイダーに侵入し、支払い情報やIDを含む一部のユーザーデータを流出させ、漏洩を防ぐための身代金を要求しました。証拠は、Zendeskへの侵入を通じてDiscordの管理システムにアクセスしたことを示唆しています。研究者たちは、ShinyHuntersが サービスとしての恐喝 SLSHは、他のハッカーと提携して身代金要求を行うEaaS(EaaS)モデルを採用しており、この考え方は他の侵害事例によってさらに強化されています。10月11日、SLSHはEaaSプラットフォームを一般公開する計画を発表しました。
脅威の状況
最近の投稿では、10月10日までに身代金が支払われない場合、Salesforce関連データを漏洩すると脅迫しており、Salesloftエコシステムに関連したさらなる攻撃を示唆しています。調査によると、このグループはフィッシングをベースとしたソーシャルエンジニアリングを多用しており、従業員に偽のSalesforceデータローダーアプリをインストールさせたり、悪意のある接続アプリを承認させたりしてアクセス権限を取得させています。これらのインシデントは、真の弱点はソフトウェアの欠陥ではなく、人間による操作にあることを強調しています。これは、進化を続けるこの脅威環境の特徴です。Salesforceは、Scattered LAPSUS$ Hunters(SLH)グループによる身代金要求に応じないことを公式に表明しています。
この立場が公になった直後、 マルウェアが混入したメッセージ タイトル 「輝くハンター」 送信されました クレブスセキュリティ、物理的な脅威と悪意のあるリンクが含まれています ライムワイヤー[.]com同様の脅迫メールが標的に Mandiant およびその他のセキュリティ会社。
リンクはスクリーンショットファイルを装い、被害者がファイルを開かなくても監視、認証情報の窃取、キーロギングが可能なリモートアクセス型トロイの木馬(RAT)を密かにドロップするものでした。Mandiantは後にこのマルウェアを次のように特定しました。 AsyncRATサイバー犯罪で広く利用されている.NETベースのRATです。プラグインベースの設計により、攻撃者は悪意のあるツールを密かに実行し、スクリーンショットをキャプチャし、キーストロークを記録し、暗号通貨をマイニングすることができます。
このような脅迫戦術は、SLHのメンバーが自らのキャンペーンを捜査する研究者や法執行機関を標的にしてきた過去の行動と一致している。一方、法執行機関からの圧力は高まっている。9月下旬には、 スキャタード・スパイダーのメンバーとみられる2人が英国で逮捕された。 同様の行為を通じて1億1500万ドル以上を窃盗および脅迫した疑い。
長年にわたる複数回の逮捕にもかかわらず、これらのグループやその名称変更は依然として活発で、ますます大胆になっています。彼らは新たなランサムウェアサービスを運営していると主張しています。 「SHINYSP1D3R」 、そしてエクスプロイトを販売しているが、これらの主張のほとんどは未検証のままである。被害者とされる者の多くは、過去のUNC5537およびUNC6040の標的と一致しており、新たな攻撃者ではなく、継続性を示唆している。
Oracleゼロデイ脆弱性攻撃
その 散在するLAPSUS$シャイニーハンター(SLSH) グループはエクスプロイトコードも共有していたようだ CVE-2025-61882これは、Oracle の E-Business Suite における重大なゼロデイ脆弱性であり、認証されていないリモート コード実行を許可します。つまり、ユーザー名とパスワードを必要とせずにネットワーク経由で悪用される可能性があります。
Oracleは検証し、 発行 緊急パッチを公開し、顧客に直ちにアップデートするよう促した。マンディアントのチャールズ・カーマイケル 確認された その Clop ランサムウェア 攻撃グループは2025年8月に初めてこの脆弱性を悪用し、Oracleサーバーからデータを盗み、身代金キャンペーンを開始しました。
Oracle EBSサーバーを標的としたエクスプロイト活動は、公式パッチのリリース前の2025年7月という早い時期に観測されていました。エクスプロイトの痕跡の一部は、2025年10月3日にSLSH Telegramチャンネルで共有されたエクスプロイトと重複していると報告されています。しかし、GTIG(Google Threat Intelligence Group)は、コアとなる侵入をSLHまたは「Shiny Hunters」(UNC6240)に帰属させるには証拠が不十分であると指摘しています。
Red HatとDiscordの侵害
On 20年9月ハッカーは、 Discord、盗む ユーザーID、支払い情報、政府発行のID カスタマー サポートまたは Trust & Safety とやり取りした限られた数のユーザーから収集されました。
2025年9月にRapid7によって初めて確認されたこのグループは、オープンソースツールであるTruffleHogを使用して、漏洩したAWS認証情報をスキャンします。アクセス権限を取得すると、新規ユーザーを作成し、権限を昇格させ、S3やRDSなどのAWSネイティブサービスを使用して、データベース、プロジェクトリポジトリ、EBSスナップショットを盗み出します。
彼らは、多くの場合、Permissiveセキュリティグループを設定したカスタムEC2インスタンスをデプロイし、盗難されたボリュームをアタッチし、Simple Email Service(SES)または外部アカウントを使用して被害者に恐喝メールを送信します。このグループの戦術は、綿密な計画、高度な自動化、そしてクラウドネイティブの悪用への重点を示しています。しかも、エクスプロイトではなく、有効な認証情報を利用しています。
正確な構成は不明ですが、共通のIPアドレスや身代金要求メッセージに使用されている言葉遣いから、複数のアクターが関与していることが示唆されます。暗号化よりもデータの窃取に重点を置いているようで、現代の「サービスとしての恐喝」に近い動きと言えるでしょう。
次のような憶測が高まっている。 Red Hatの侵害 最近公開された脆弱性に関連している可能性があります レッドハットオープンシフトAI - CVE-2025-10725 (CVSS 9.9)正式な帰属は確認されていませんが、Scattered LAPSUS$ Shiny Hunters(SLSH)によって漏洩されたサンプルデータには、内部インフラの詳細を参照する.configファイルと.ymlファイルが含まれていました。これは、Crimson Collectiveが侵害された環境へのアクセスまたはエスカレーション戦略の一環として、この脆弱性を悪用した可能性を示唆しています。Red Hatによると、この脆弱性は最小限の認証を必要とし、 権限の低いユーザー 特権を拡大し、利益を得る クラスタ管理者アクセスハイブリッド クラウド環境内のすべてのワークロードとデータが危険にさらされる可能性があります。
この深刻な脆弱性は、 機密性、完全性、可用性 AI プラットフォーム全体の。 オープンシフトAI大規模な AI/ML ワークロードを管理するための Red Hat のエンタープライズグレードのソリューションである は、さまざまな業界で広く使用されており、Jupyter ノートブックなどのツールを統合しているため、このような欠陥の影響は広範囲に及ぶ可能性があります。
Rapid7 によってこの活動に関連付けられた IP アドレスは、主にポートスキャン活動に使用されました。標的となったポートは、9、21、80、81、82、443、3000、3001、4443、5000、5001、7001、8000、8008、8010、8080、8081、8082、8443、8888、9000、9001、9090、9091、9099 です。これらの IP アドレスに対する活動は、9 月 8 日から 20 日の間に観測されました。
その後、研究者たちは、 散在するラプサス$シャイニーハンター(SLSH) 記載されている レッドハット リークサイトでは、 SLSHはクリムゾン・コレクティブに代わってレッドハットを脅迫しているアナリストたちは現在、 Red Hatのデータ侵害 おそらく SLSHとクリムゾン・コレクティブの共同事業.
Crimson Collectiveが共有し、後にScattered LAPSUS$ Huntersのリークサイトでも言及されたファイルツリーとデータサンプルの分析から、Red Hatの侵害によって多数の組織が影響を受ける可能性があることが示唆されています。リークされたリポジトリ構造に含まれる企業名や環境名は、広範囲にわたる運用上の痕跡を示唆しています。実際のファイルの内容にはアクセスできませんが、命名規則と構造から、侵害の及ぶ範囲を推測することができます。リークサイトで共有されたサンプルCERデータセットの一部には、次のような例が示されています。 構成スクリプト (.cfg、.yml)、例 認証トークン、サンプルネットワーク図と デフォルトのパスワード「例」とラベル付けされていても、これらのファイルは顧客にリスクをもたらす可能性があります(これらのCERファイルに登場する人々)が、制作のような取り組みから直接得られたものである場合。
以下の統計チャートはディレクトリツリーとファイル名のみに基づいていることに注意することが重要です。 漏洩したサンプルデータ構造で観察された基盤となるファイルやデータにアクセスできなかったため、すべてのエントリが稼働中または正規のシステムを反映しているとは断言できません。一部のエントリは、古いシステム、社内テスト、または未完了の導入を反映している可能性があります。しかしながら、約5年間のコンサルティング活動を網羅したこの広範なリストは、この情報の大部分が、リストに掲載されている組織全体で実際に導入されている本番環境に関連している可能性を強く示唆しています。
Red Hat の漏洩したディレクトリ ツリーに基づく分析によると、世界的に最も影響を受けているセクターは BFSI (約 29%) で、続いてテクノロジー (約 17%)、政府 (約 11%) のセクターとなっています。
セキュリティ研究者たちは何ヶ月も前から、 シャイニーハンターズ として運営する 恐喝サービス(EaaS) ランサムウェアのアフィリエイトモデルのように、他の脅威アクターと提携して被害者から身代金を要求し、その一部を受け取るというグループです。この説は、複数の侵害事件の後、注目を集めました。 Oracle Cloud の三脚と PowerSchool、グループは侵入を直接主張していないにもかかわらず、ShinyHuntersの名前で恐喝されました。
との会話で 逃げるコンピュータシャイニーハンターは、盗まれたデータのブローカーとして活動することが多く、通常は 25〜30% いかなる恐喝金の支払いも禁止する。 データ漏洩サイト、彼らは現在このサービスを公然と提供しているようです。
に加えて レッドハット、ShinyHuntersは現在、 S&Pグローバル 2025年2月の侵害の犯行声明を出した別の脅威アクターの代理として、ShinyHuntersはサンプルデータを公開し、 10年10月 身代金の期限。コメントを求められたS&Pグローバルは、米国上場企業としての開示義務を理由に回答を控えた。
Scattered LAPSUS$ Shiny Huntersは、Telegramチャンネルに公開募集メッセージを投稿し、高収益組織の従業員に内部アクセスを求めるとともに、通信(Claro、Telefónica、AT&Tなど)、大手ソフトウェアおよびゲーム企業(Microsoft、Apple、EA、IBMなど)、コールセンター/BPMプロバイダー(Atento、Teleperformanceなど)、サーバーホスト(OVH、Locawebなど)などの業界を明確にターゲットにしています。投稿では、彼らがデータを求めているのではなく(「すでにすべて持っている」と主張している)、VPN/VDI/Citrixアクセス、Active Directory機能、Okta/Azure/AWS特権アクセスなど、永続的なネットワークエントリを求めており、協力する内部関係者には報酬を支払うと明言しています。彼らは、不明な候補者にダイレクトメッセージを送信するよう呼びかけ、VPN/VDIアクセスを持つ非従業員にも関心があると述べ、米国、オーストラリア、英国、カナダ、フランスのターゲットに重点を置いていると指摘しました。この大胆な勧誘は、恐喝活動を支援するために内部者による侵入が行われていることを浮き彫りにしています。
10月8日、SLSHグループはTelegramチャンネルで、インド国民に関する大規模なKYCデータセットを保有していると投稿しました。それ以上の証拠は共有されておらず、本稿執筆時点では、この主張の真偽は依然として不透明です。
10月11日、Scattered LAPSUS$ Shiny Hunters(SLSH)は、EaaSの公開を開始する意向を明らかにしました。声明によると、ポータルとそれに伴う手順が公開される予定です。SLSHによると、主な利点は、攻撃者がグループの名前と評判を活用することで、匿名での攻撃に比べて効果を高めることができることです。さらなる情報が待たれます。また、彼らは「Qantas Airways Limited」、「Albertsons Companies, Inc.」、「GAP INC.」、「Fujifilm」、「Engie Resources」、「Vietnam Airlines」の漏洩データセット全体をダークネットサイトに公開しました。これは、交渉が決裂したか、身代金要求が拒否された後と思われます。
コンテキスト化
Seqrite Threat Intelligence (STI) は、これらのグループに関連する完全な相関関係とともに、被害者、TTP、脆弱性などに関する適切なエンリッチメントとコンテキストを提供します。
結論
Scattered LAPSUS$ Huntersの台頭は、サイバー恐喝の新たな局面を象徴しています。それは、純粋な技術的スキルではなく、宣伝、ソーシャルエンジニアリング、そして協力関係によって推進されるものです。LAPSUS$、ShinyHunters、そしてScattered Spiderの戦術を融合させているのは、混沌と可視性を基盤とする、緩やかな繋がりを持つ恐喝同盟への広範な移行を反映しています。
Oracle E-Business Suiteのゼロデイ脆弱性のような、漏洩したエクスプロイトの利用は、脅威アクターがいかに迅速に公開ツールを武器化し、その影響力を拡大できるかを示しています。複数のグループがオープンプラットフォーム上でインフラとコードを共有しているため、攻撃者の特定は依然として困難です。この攻撃キャンペーンは、システムだけでなく人こそが最も脆弱な要素であることを改めて浮き彫りにしています。現在、最善の防御策は、強力なアクセス制御、多要素認証、継続的な脅威監視、そしてユーザーの意識向上にあります。これらのハイブリッド攻撃は、現代のサイバー犯罪が技術的な侵害だけでなく、心理的なプレッシャーと評判の失墜にも大きく関わっていることを証明しています。
- Oracle、Discord、サードパーティのシステム全体ですべての資格情報とサービス アカウントをローテーションし、アドバイザリで発行された Red Hat のガイドラインに従います。
- すべてのシステムに直ちにパッチを適用し、パッチが適用されていないサーバーを隔離します。
- デフォルトの認証トークン、API キー、セッション Cookie、デジタル証明書 (CER ファイル)、および秘密キーを取り消して再生成します。
- すべての構成ファイルを監査してクリーンアップし、ハードコードされた資格情報またはトークンを削除します。
- コードおよび構成リポジトリに継続的な秘密スキャンを実装します。
- 最小権限とジャストインタイム モデルを使用して、管理者とサービスのアクセスを制限します。
- SIEM および EDR/XDR 監視を強化して、資格情報またはトークンの不正使用を検出します。
- サードパーティベンダーを評価して保護します。SOC 2 または ISO 27001 への準拠を要求します。
- 完全なデータ漏洩分析を実施して、漏洩したデータの範囲と影響を確認します。
- 整合性が不明な場合は、クリーンなバックアップから侵害されたシステムを再構築または復元します。
- インシデント対応計画を更新して、漏洩した構成、トークン、証明書のシナリオを含めます。
- 影響を受けるユーザーまたはパートナーに通知し、開示規制を遵守します。
- 継続的な脆弱性スキャンとスケジュールされた資格情報/キーのローテーションを有効にします。
- 漏洩した構成、トークン、または証明書がないか、ダーク ウェブ ソースを監視します。
- フィッシングや認証情報の盗難の試みを認識し、フィッシングの罠に陥らないように従業員をトレーニングします。
