Microsoft 警告:イランのハッカーが防衛産業にパスワード・スプレー攻撃

Microsoft: Iran-linked hackers target US defense tech companies

2021/10/11 BleepingComputer — イランに関連する脅威アクターが、米国とイスラエルの防衛技術企業が使用する Office 365 テナントを標的に、大規模なパスワード・スプレー攻撃を行っている。パスワード・スプレー攻撃では、複数のアカウントに対して同じパスワードを設定し、アカウント名を総当りするブルートフォースが試みられる。これにより、失敗したパスワードを異なる IP アドレスで隠すことが可能になる。

つまり、パスワード・ロックアウトや、複数回のログイン失敗を阻止するために設計された IP ブロッキングなどの、自動化された防御策を破ることが可能となる。Microsoft Threat Intelligence Center (MSTIC) およびMicrosoft Digital Security Unit (DSU) の研究者たちにより、この脅威クラスタは DEV-0343 という名前が一時的に付けられ、7月下旬から追跡されている。

イラン政府の利益に沿った攻撃

Microsoft によると、この継続的な悪意の活動は、別のイランに関連する脅威アクターと、テクニックやターゲットが重複していることから、イランの国益と一致していると見なされている。また、DEV-0343 は、パターン・オブ・ライフ分析や、他のイランのハッキング・グループとの、分野別および地理的なターゲットの大半が重複していることから、イランに関連していると推測される。

Microsoft は、「DEV-0343 の活動では、軍用レーダー/ドローン技術/衛星システム/緊急対応通信システムを製造する、米国/欧州連合/イスラエル政府のパートナーをサポートする、防衛関連企業をターゲットにしていることが確認されている。さらに、地理情報システム (GIS)/空間分析/ペルシャ湾の港湾/中東の海事企業/貨物輸送会社などの、顧客を対象とした活動も行われている」と述べている。

DEV-0343 オペレーターの最終的な目的は、商業衛星の画像/出荷計画/ログへのアクセスを得ることであり、イランが開発中の衛星プログラムを補強するために使用されると考えられる。Microsoft は、標的となった顧客や、不正アクセスを受けた顧客にダイレクトに通知し、アカウントを保護するために必要な情報を提供している。

侵入されたターゲットは20件以下

攻撃が開始されてから、侵害されたターゲットは 20件以下である。また、Microsoft は、多要素認証 (MFA) に切り替えられた Office 365 アカウントは、DEV-0343 のパスワードスプレー攻撃に対して耐性があると指摘している。

DEV-0343は、列挙型のパスワード・スプレー・ツールを用いて、Autodiscover とActiveSync Exchange のエンドポイントをターゲットにし、アクティブなアカウントを検証し、攻撃を最適化している。

Microsoftは、「彼らは通常、ターゲットの規模に応じて、数十から数百のアカウントを標的とし、各アカウントを数十回から数千回にわたって列挙する。平均して、150 から 1,000以上のユニークな Tor プロキシ IP アドレスが、各組織に対する攻撃に使用されている」と述べている。

攻撃を防御する方法

この活動にさらされている企業は、DEV-0343 の行動や戦術を、ログやネットワーク活動の中から探し出すことを推奨されている。具体例は、以下の通りとなる。

・パスワード・スプレー・キャンペーンのための Tor IP アドレスからの広範なインバウンド・トラフィック。
・パスワード・スプレー・キャンペーンでの FireFox または Chrome ブラウザのエミュレーション。
・Exchange ActiveSync (最も一般的) または Autodiscover エンドポイントの列挙。
・365spray ツールに類似した、列挙/パスワード・スプレー・ツールの使用。
・アカウントとパスワードを検証するための Autodiscover の使用
・365sprayツールに類似した列挙/パスワードスプレー・ツールの使用
・Autodiscover によるアカウントとパスワードの検証

マイクロソフトでは、DEV-034 の攻撃に対する防御策として、以下の対策をとることを推奨している。

・多要素認証を有効にして、認証情報の漏洩を緩和する。
・・Office 365 ユーザーの場合は、多要素認証のサポートを参照。
・・Consumer および Personal のメールアカウントでは、2FA 認証を参照。
・Microsoft は、すべての顧客に対して、パスワードレス・ソリューションを推奨。
・推奨される Exchange Online のアクセス・ポリシーを確認/実施。
・・ActiveSync による Conditional Access ポリシー・バイパスをブロック。
・匿名化サービスからの全受信トラフィックを可能な限りブロック。

また、MSTIC と DSU の研究者たちはブログ記事の最後で、Microsoft 365 Defender と Azure Sentinel の高度なハンティング・クエリを紹介しており、SecOps チームによる DEV-0343 関連活動の検出を支援している。

このブログで、イランの脅威アクターの動きを取り上げるのは、たぶん初めてだと思います。この半年ほど、それほど活発には活動していなかった、ということなのでしょうか? なお、貿易に関連するポストとしては、「SolarWinds ゼロデイの悪用により米防衛機関が標的に」や「宇宙空間とサイバー空間:国家と主権のあり方が変化していく?」などがあります。よろしければ ど〜ぞ。

%d bloggers like this: