Last Updated on 2024-07-06 09:13 by admin
マイクロソフトは、2023年11月に同社のシステムを狙ったサイバー攻撃を行ったロシアの国家支援の脅威アクターが、他の組織を標的にしていると警告し、現在それらの組織に通知を開始していると発表しました。この発表は、ヒューレット・パッカード・エンタープライズ(HPE)がAPT29として知られるハッキンググループによる攻撃の被害を受けたことを明らかにした翌日に行われました。APT29は、BlueBravo、Cloaked Ursa、Cozy Bear、Midnight Blizzard(以前のNobelium)、The Dukesとも呼ばれています。
マイクロソフトの脅威インテリジェンスチームによると、この脅威アクターは主に米国とヨーロッパの政府、外交機関、非政府組織(NGO)、ITサービスプロバイダーを標的にしています。これらのスパイ活動の主な目的は、長期間にわたって足場を維持し、注目を集めることなく、ロシアに戦略的利益をもたらす機密情報を収集することです。最新の開示によると、このキャンペーンの規模は以前考えられていたよりも大きかった可能性がありますが、具体的にどの組織が標的にされたかは明らかにされていません。
APT29の作戦には、合法的だが侵害されたアカウントを使用して標的環境内でアクセスを拡大し、レーダー下で活動することが含まれます。また、OAuthアプリケーションを特定し、悪用してクラウドインフラストラクチャーを横断する動きや、電子メールの収集などの侵害後の活動に使用することも知られています。
マイクロソフトは、これらの攻撃者が様々な初期アクセス方法を使用しており、盗まれた資格情報からサプライチェーン攻撃、オンプレミス環境の悪用からクラウドへの横断移動、サービスプロバイダーの信頼チェーンの悪用による下流顧客へのアクセス獲得まで多岐にわたると指摘しています。特に注目すべき戦術としては、侵害されたユーザーアカウントを使用して、OAuthアプリケーションを作成、変更し、高い権限を付与することで、悪意のある活動を隠すことが挙げられます。これにより、攻撃者は初期に侵害されたアカウントへのアクセスを失った場合でも、アプリケーションへのアクセスを維持することができます。これらの悪意のあるOAuthアプリケーションは最終的に、Microsoft Exchange Onlineに認証し、興味のあるデータを抽出するためにマイクロソフトの企業メールアカウントを標的に使用されます。
2023年11月にマイクロソフトを標的にした事件では、脅威アクターはパスワードスプレー攻撃を使用して、多要素認証(MFA)が有効になっていないレガシーの非生産テストテナントアカウントに成功裏に侵入しました。このような攻撃は、その起源を隠すために分散型の居住者プロキシインフラストラクチャから発動され、脅威アクターが侵害されたテナントおよびExchange Onlineと合法的なユーザーも使用する広範なIPアドレスネットワークを介してやり取りすることを可能にします。
マイクロソフトは、「Midnight Blizzard」が居住者プロキシを使用して接続を偽装することで、IPアドレスの高い変更率のために従来の侵害指標(IoC)ベースの検出が実行不可能になると述べ、組織に対して悪質なOAuthアプリケーションとパスワードスプレー攻撃に対抗するための対策を講じるよう促しています。
【ニュース解説】
マイクロソフトは、2023年11月に自社のシステムに対して行われたサイバー攻撃の背後にいるロシアの国家支援のハッカーグループAPT29が、世界中の他の組織を標的にしていると警告しました。APT29は、政府機関や外交関係者、非政府組織(NGO)、ITサービスプロバイダーなどを主なターゲットとしており、これらの組織から機密情報を収集することを目的としています。このグループは、合法的なアカウントを侵害してアクセスを拡大し、長期間にわたって検出されずに活動を続けることができる高度な手法を使用しています。
APT29は、OAuthアプリケーションを悪用してクラウドインフラストラクチャー内で横断的に移動し、電子メールの収集などの活動を行うことが知られています。また、侵害されたアカウントを利用してOAuthアプリケーションを作成・変更し、高い権限を付与することで、その後の悪意ある活動を隠蔽する手法も使用しています。これにより、攻撃者はアカウントへのアクセスを失ってもアプリケーションへのアクセスを維持することが可能になります。
マイクロソフトは、APT29がパスワードスプレー攻撃と呼ばれる手法を用いて、多要素認証が有効でないテストアカウントに侵入したことを明らかにしました。この攻撃は、攻撃者の起源を隠すために分散型の居住者プロキシインフラストラクチャを利用して行われ、IPアドレスの高い変動率により従来の侵害指標に基づく検出が困難になっています。
このような高度なサイバー攻撃は、組織がセキュリティ対策を強化することの重要性を示しています。特に、多要素認証の導入、OAuthアプリケーションの監視、パスワードポリシーの強化などが必要です。また、サプライチェーン攻撃やサービスプロバイダーを通じた攻撃に対する警戒も求められます。
APT29のような国家支援のハッカーグループによる攻撃は、国際的な緊張関係を高める可能性があり、サイバー空間での対立が現実世界の政治的な対立に影響を及ぼすリスクを持っています。また、企業や組織にとっては、機密情報の漏洩による経済的損失や信頼の失墜など、重大な影響をもたらす可能性があります。
このニュースは、サイバーセキュリティの専門家や政策立案者にとって、国際的なサイバー防衛協力の強化や、サイバー攻撃に対する法的な対応策の検討を促すものです。また、企業や組織は、サイバーセキュリティ対策の見直しと強化を急ぐ必要があることを示唆しています。将来的には、APT29のような脅威に対抗するための国際的な規制や協定が形成される可能性もあります。
from Microsoft Warns of Widening APT29 Espionage Attacks Targeting Global Orgs.