Nobelium ハッキンググループが Microsoft Customer Support に不正アクセス

Nobelium hackers accessed Microsoft customer support tools

2021/0626 BleepingComputer — Microsoft によると、ハッキンググループ Nobelium が新たな攻撃を行い、同社の Support Agent Computer から、顧客のサブスクリプション情報が流出したとのことだ。Microsoft が命名した Nobelium とは、SolarWinds サプライチェーン攻撃を行った、国家支援されるリシアのハッキング・グループである。このハッキング・グループが企業ネットワークへのアクセスを得るために、パスワードスプレー攻撃やブルートフォース攻撃を行っていたと、金曜日の夜に公開されたブログの中で Microsoft は述べている。

どちらの攻撃も、パスワードを推測することで、オンライン・アカウントへの不正アクセスを試みるという点で似ている。しかし、ブルートフォース攻撃が、1つのアカウントを対象に異なるパスワードを繰り返し試行するのに対して、パスワードスプレー攻撃は、複数のアカウントに対して同じパスワードを繰り返して施行する。

Microsoft によると、最近の Nobelium の攻撃はほとんど成功していないようだが、Nobelium に侵入された企業も3つあるようだ。今回の攻撃は、特定の顧客を対象としたもので、主に IT 企業 (57%) 、次いで政府機関(20%) 、さらには非政府組織や、シンクタンク、金融サービスなども対象となっている。また、米国が攻撃された割合は 約45%、次いで 英国が 10%、他にもドイツとカナダが攻撃され、グローバルで 36カ国が標的となった。

Nobeliumハッキンググループは、APT29 / Cozy Bear / The Dukes としても知られると、この記事は説明しています。この驚異アクターが、米国政府機関や Microsoft / FireEye / Cisco / Malwarebytes / Mimecast などの米国企業を危険にさらした、SolarWinds サプライチェーン攻撃の原因とされています。これらの攻撃においては、SolarWinds Orion IT の正規の monitoring platform モジュールが置き換えられ、ソフトウェアの自動更新プロセスを介して顧客に配布されました。

続いて、これらの不正なモジュールにより、脅威のデバイスへのリモート・アクセスが可能となり、さらなる内部攻撃を仕掛けられました。この4月に米国政府は、ロシア政府およびロシア対外情報庁 (SVR) のハッカーたちが、SolarWinds 米国を攻撃したと正式に非難しました。さらに最近では、外国への援助や開発支援を行う米国の機関である、USAID の Constant Contact アカウントを、このグループが侵害したことを、Microsoft が明らかにしました。

%d bloggers like this: