Azure を侵害して Microsoft 365 ユーザーを狙う:ロシア APT29 の凄腕ぶり

Russian APT29 hackers abuse Azure services to hack Microsoft 365 users

2022/08/19 BleepingComputer — 国家を後ろ盾とするロシアのサイバースパイ・グループ Cozy Bear は、NATO 諸国の Microsoft 365 アカウントを標的とし、外交政策情報へのアクセスを試みるなど、2022年に入ってから活発に動き回っている。Microsoft 365 は、主にエンタープライズなどで使用されているクラウド・ベースの生産性スイートであり、コラボレーション/コミュニケーション/データストレージ/電子メールなどの、オフィスでの作業などを容易にする。

Cozy Bear (別名:APT29/ Nobelium) の活動を追跡してきた Mandiant は、ロシアのハッカーが諜報活動において、Microsoft 365 のアカウントを積極的に狙っていると報告している。

研究者たちは、このロシアのグループについて、アナリストによる攻撃手法の発見と暴露を防ぐために、例外的ともいえる運用上のセキュリティを確保し続けていると警告している。今日に発表されたレポートの中で Mandiant は、APT29 の高度な戦術と、最新の TTP (tactics, techniques, and procedures) などを紹介している。

Microsoft 365 に注目

Microsoft 365 の上位ライセンスである E5 のユーザーは、Purview Audit (旧Advanced Audit) というセキュリティ機能を利用できる。この機能を有効にすると、電子メールにアクセスするたびに、ユーザーエージェント/IP アドレス/タイムスタンプ/ユーザー名などが、プログラム (Outlook/Browser/Graph API) とは無関係に記録されていく。

APT29 のようなステルス型のネットワーク侵入者は、自分たちの動きを追跡されることや、ログに記録されたりすることを嫌がる。そのため、ハッカーたちは、侵害したアカウントの監査を回避するために、対象となるユーザーがメール・フォルダに触れる前に、そのユーザーの Purview Audit 機能を無効化する。


Mandiant は、APT29 に関するホワイトペーパーで、「それは、脅威アクターがアクセスするメールボックスを特定し、また、暴露の範囲を絞り込むための、重要なログソースになる。脅威アクターが、Application Impersonation や Graph API のような技術を用いている場合には、特定のメールボックスへのアクセスを、効果的に判断するための唯一の方法となる」と警告している。

Mandiant が発見した2つ目の興味深い点は、Azure Active Directory (AD) の多要素認証 (MFA) 自己登録プロセスを、APT29 が悪用していることである。ユーザーが、自己登録ポリシーを持つドメインに初めてログインするとき、そのアカウントで MFA を有効にするために、Windows はプロンプトを表示する。

Prompting a Windows domain user to enroll in MFA
Source: Microsoft

APT29 は、ドメインにログインしたことのないアカウントの、ユーザー名とパスワードに対してブルートフォース攻撃を行い、そのデバイスを MFA に登録させている。MFA を有効にすることで、侵害した組織の VPN インフラを使用するための、セキュリティの前提条件が満たされるため、APT29 は侵害したネットワーク上を自由に歩き回るようになる。

Mandiant は、この脅威グループが、Azure Virtual Machines を使用して、その痕跡を隠していることを確認した。それらの仮想マシンは、侵害したアカウントから使用するケースもあれば、そのためにサービスを購入することもあるとしている。

Azure Virtual Machines マシンは、Microsoft の IPアドレスでログを汚染する。また、Microsoft 365 が Azure 上で動作しているため、通常のトラフィックと悪意のアクティビティを、防御側が見分けることが困難になる。

APT29は、電子メールを収集するためのバックドア・サービスなどに、良性アプリケーションの URL を追加することで、Azure AD 管理者の活動を、さらに難解にしている。

APT29 はロシアの急先鋒

APT29は、ロシアにおける最も巧妙なハッキンググループの1つである。Mandiant の最新調査の結果は、その洗練された先約と準備に加えて、標的型ソフトウェアの機能に関する深い知識を裏付けている。

2022年1月に CrowdStrike は、何年にもわたって盗み出したブラウザ・クッキーを使って、APT29 は有効なセッションを乗っ取り、Office 365 アカウントの MFA ステップをバイパスしていることを発見した。

2022年5月に Mandiant は、欧州全域の政府/大使館/高官を標的とした、特定の脅威グループが、組織化したフィッシング・キャンペーンを展開しているのを発見した。

2022年7月に Palo Alto Networks のアナリストは、APT29 が Google Drive とDropbox のクラウドストレージ・サービスを悪用して、より安全なマルウェア展開とデータ流出を実現していることを明らかにした。

Microsoft 365 の E5 ユーザーだけに提供される、Purview Audit というセキュリティ機能を無効化してから、侵害の作業に取り組むという、コンテキストを分かった上での Cozy Bear (APT29) の手口です。先ほどの、「ロシアによるサイバー攻撃:ウクライナから NATO へと標的が拡大する可能性は?」では、AcidRain と APT28 の関連性が疑われていましたが、ロシアの一線級の APT は、どれも手強い存在です。明らかに、有事のための戦力として機能しているように思えます。

%d bloggers like this: