**Palo Alto Networks**のUnit 42がRetail & Hospitality Information Sharing and Analysis Center（RH-ISAC）と共有したレポートによると、**BlackFile**（CL-CRI-1116、UNC6671、Cordial Spiderとしても追跡されている）は、組織を侵害するためにますます洗練された戦術を採用しています。 Unit 42の研究者はまた、違法行為のために若年層を標的とし、勧誘することで知られるサイバー犯罪者のネットワークである「The Com」と**BlackFile**を暫定的に関連付けています。 **攻撃はビッシングから始まる** 同グループの攻撃は通常、従業員への電話から始まり、偽装された電話番号を使用してITサポートを装います。これらの脅威アクターは、スタッフを偽の企業ログインページに誘導し、認証情報とワンタイムパスコードの入力を促します。 RH-ISACはレポートの中で、「CL-CRI-1116の背後にいる攻撃者は、偽装されたVoice over Internet Protocol（VoIP）番号または不正な発信者ID名（CNAM）からの音声ベースのフィッシング（ビッシング）をソーシャルエンジニアリング技術として使用し、通常はITサポート担当者を装っています」と述べています。 CyberStewardの創設者兼CEOである**Jason S.T. Kotler**氏はBleepingComputerに対し、「Blackfile関連の事案が大幅に増加しており、TTPは**ShinyHunters**やSLSHなどのグループや、ビッシング/ソーシャルエンジニアリングデータエクスプロイト戦術を採用する類似の模倣犯と非常に似ているようです」と述べています。 **MFAをバイパスし、権限を昇格させる** 盗まれた認証情報を使用して、**BlackFile**の攻撃者は自身のデバイスを登録して多要素認証（MFA）をバイパスします。その後、社内の従業員ディレクトリをスクレイピングして、エグゼクティブレベルのアカウントへのアクセスを昇格させます。 **データ流出と恐喝** **BlackFile**は、標準的なAPI機能を使用して被害者の**Salesforce**および**SharePoint**サーバーからデータを盗み出し、「confidential」や「SSN」などの機密情報を含むファイルを特に標的とします。 流出した文書は攻撃者制御下のサーバーにダウンロードされ、身代金要求が侵害された従業員のアカウントまたはランダムに生成された**Gmail**アドレス経由で行われる前に、ギャングのダークウェブデータ漏洩サイトに公開されます。  RH-ISACは、「**Salesforce** APIアクセスと標準の**SharePoint**ダウンロード機能を利用することで、攻撃者は従業員の電話番号のCSVデータセットや機密性の高いビジネスレポートを含む大量のデータを、攻撃者制御下のインフラストラクチャに移動させます」と付け加えています。 「これは、単純なユーザーエージェントアラートをトリガーしないように、正規のSSO認証セッションを装って行われることがよくあります。」 **スワッティングの試み** 侵害された企業の従業員は、上級エグゼクティブを含め、スワッティングの標的にもなっています。この戦術は、被害者にさらなる圧力をかけるために、緊急対応者に虚偽の緊急通報を行うことを含みます。 **Mandiant**も、データ窃盗と恐喝につながった複数のビッシングインシデントに対応していることを確認しており、その中には**BlackFile**の被害者中傷サイト（現在はオフライン）を使用したものも含まれています。 **緩和戦略** **BlackFile**の攻撃の成功を緩和するために、RH-ISACは組織に以下のことを推奨しています。 * 通話処理ポリシーを強化する。 * 発信者に対する多要素認証を強制する。 * 最前線のスタッフ向けにシミュレーションベースのソーシャルエンジニアリングトレーニングを実施する。