Microsoft Warns of Continued Supply-Chain Attacks by the Nobelium Hacker Group
2021/10/25 TheHackerNews — 2020年12月に発生した SolarWinds 不正アクセス事件の背後には、複数のクラウド・サービス・プロバイダー (CSP) や、マネージド・サービス・プロバイダー (MSP) などの、IT サービス企業の下流顧客 14社を標的にした、継続的な攻撃の波が押し寄せている。そのため、「1つの侵害から複数の侵害へ」というアプローチでサプライチェーンを標的にする、敵対者の継続的な関心が示されている。
月曜日に、このキャンペーンの詳細を発表した Microsoft によると、5月以降で 140社以上のリセラーやテクノロジー・サービス・プロバイダーに、警告を通知したとのことだ。2021年7月1日〜10月19日の間に、Nobelium は 609件の顧客を特定し、合計で22,868回の攻撃を行ったと言われている。
Microsoft の Corporate VP of Customer Security and Trust である Tom Burt は、「今回の攻撃はロシアのハッカーが、テクノロジーのサプライチェーンにおける各種のポイントに長期的かつ組織的にアクセスし、ロシア政府が関心を持つターゲットを将来にわたって監視する、仕組みを構築していることを示す新たな指標だ」と述べている。
今回の公開された攻撃は、ソフトウェアの特定の脆弱性を利用するものではなく、パスワードスプレイ/トークン窃取/API 悪用/スピアフィッシングなどの多様な手法を用いて、サービス・プロバイダーの特権アカウントに関連する認証情報を吸い上げ、クラウド環境内での横移動を可能にして、さらなる侵入を試みるものだ。
Microsoft によると、「最終的に Nobelium は、再販業者が顧客のITシステムに直接アクセスできることを利用し、組織の信頼できるテクノロジー・パートナーに簡単になりすまし、下流にいる顧客への不正アクセスを狙っている」とのことだ。
今回の攻撃は、サービス・プロバイダーの信頼関係を悪用し、情報収集のために複数の被害者に潜り込むという、Nobelium の常套手段の手口を示している。Microsoft はユーザー企業に対して、Multi-Factor Authentication (MFA) の有効化、および、Delegated Administrative Privileges (DAP) 監査を行い、高度な権限が悪用されないよう、保護することを推奨している。
この問題は、ハッキング・グループが Active Directory Federation Services (AD FS) サーバーから追加のペイロードを配信して機密情報を盗もうとする、FoggyWeb と呼ばれる受動的で高度な標的型バックドアが明らかになって、1ヶ月も経たないうちに発生している。
Nobelium に関する記事は、6月26日の「Nobelium ハッキンググループが Microsoft Customer Support に不正アクセス」がありますが、ロシア系ランサムウェアの Revil や DarkSide の背後にいる存在のようにも思えます。また、「Microsoft 警告:FoggyWeb は AD FS を狙う最強のマルウェアだ!」にも、Nobelium は登場します。カテゴリ Supply Chain Attack もありますので、よろしければ、合わせて ご参照ください。
IoT OT Security News 