MagicWeb Mystery Highlights Nobelium Attacker’s Sophistication
2023/02/11 DarkReading — ロシアに関連する Nobelium グループが開発した、Active Directory Federated Services (AD FS) に対する高度な認証バイパス・マルウェアを、Microsoft が検出した。 この、Microsoft が MagicWeb と呼ぶ Nobelium のマルウェアは、ユーザーの AD FS サーバにバックドアを埋め込み、特別に細工した証明書を使用して通常の認証プロセスを迂回させるものだ。Microsoft のインシデント対応担当者は、認証フローのデータを収集し、攻撃者が使用した認証証明書をキャプチャし、バックドアコードをリバース・エンジニアリングした。
Microsoft の Detection and Response Team (DART) は、Incident Response Cyberattack Series の中で、「8人の研究者たちは、犯人を特定することよりも、犯行の方式に解明に焦点を絞った」と述べている。
同社は、「Nobelium のような国家レベルの攻撃者は、スポンサーから無制限の金銭的/技術的な支援を受け、独自かつ最新のハッキング TTP (Tactics, Techniques and Procedures) にアクセスできる。他の悪質業者とは異なり、すべてマシン上で Nobelium は、その技巧を変更している」と述べている。
この攻撃は、SolarWinds 侵害のようなテクノロジーのサプライチェーンや、ID システムを標的とする、APT グループの高度化を浮き彫りにしている。
サイバーチェスの “マスタークラス”
MagicWeb は、AD FS システムへの管理アクセスを得ることで、高い特権を持つ証明書を使用してネットワーク上を横方向に移動していた。AD FS は、オンプレミス/サードパーティのクラウドシステムにまたがる、SSO (Single Sign-On) の実装を提供する ID 管理プラットフォームだ。
Microsoftによると、Nobelium グループは、.NETインフラの Global Assembly Cache にインストールされたバックドア型の DLL (Dynamic Link Library) と、このマルウェアを組み合わせていた。
2022年8月に Microsoft が詳細を明かした MagicWeb は、AD FS サーバから証明書を盗むための FoggyWeb などの、従来のポスト・エクスプロイト・ツールをベースに構築されている。それらを用いて組織のインフラの深部まで侵入した攻撃者は、データの流出/アカウントへの侵入/ユーザーなりすましなどを可能にする。
Microsoft の指摘は、高度な攻撃ツールやテクニックを発見するために、組織は最善の防御を要求されているというものだ。
同社は、「大半の攻撃者はチェッカーで見事なゲームを展開するが、高度な持続的脅威実現する最近のアクターたちは、マスタークラスのチェスゲームを展開している。実際のところ Nobelium は、米国/欧州/中央アジアの政府機関/NGO/政府間組織 (IGO)/シンクタンクなどを標的とした、複数のキャンペーンを並行して実施するという、きわめて活発なアクションを取り続けている」と述べている。
ID システムの特権を制限する
Microsoft はインシデント対応アドバイザリーで、「それぞれのユーザー組織は、AD FS システムと全ての ID プロバイダー (IdP) を、ドメイン・コントローラーと同じレベルの、保護階層 (Tier 0) の特権資産として扱う必要がある。このような対策により、ホストにアクセスする人物人や、他のシステムで実行できることを制限する」と述べている。
さらに Microsoft は、サイバー攻撃者のオペレーション・コストを上げるような防御技術は、攻撃を防ぐのに役立つと述べている。それぞれの組織は、すべてのアカウントで多要素認証 (MFA) を使用し、認証データの流れを監視し、疑わしいと思われる事象を可視化できるようにする必要がある。
Active Directory Federated Services (AD FS) に特化した高度な認証バイパス・マルウェア MagicWeb を、ロシアの Nobelium が開発/配布しているとのことです。この Nobelium ですが、ロシアのハッカー・ハイアラキーでは上位に位置する感じで、長期的な戦略のコアに位置しているようです。このブログ内を検索したところ、以下の記事が見つかりました。よろしければ、ご参照ください。
2022/08/25:MagicWeb:AD FS 侵害後に機能する
2021/12/06:最新マルウェア Ceeloader で CSP と MSP を狙う
2021/11/22:米国サプライチェーンへの侵入を継続
2021/10/25:Nobelium による新たなサプライチェーン攻撃
2021/06/26:Microsoft Customer Support に不正アクセス
IoT OT Security News 
You must be logged in to post a comment.