Microsoft 幹部の Exchange を侵害したロシアの Midnight Blizzard:手口の詳細を解説

Microsoft reveals how hackers breached its Exchange Online accounts

2024/01/26 BleepingComputer — 2023年11月に Microsoft 幹部の電子メール・アカウントに侵入した、ロシア政府 Foreign Intelligence Service (SVR) のハッキング・グループが、悪意のキャンペーンの一環として他の組織にも侵入したことが確認された。Midnight Blizzard (別名 Nobelium/APT29) は、ロシアの SVR 傘下のサイバー・スパイ集団と考えられており、主に米国/欧州の政府組織/NGO/ソフトウェア開発者/IT サービス・プロバイダーを標的としている。

2024年1月12日に Microsoft が報告したのは、このロシアのハッカーが、2023年11月に同社のシステムに侵入し、リーダーシップ/サイバーセキュリティ/法務チームから電子メールを盗んだことだ。これらの電子メールの一部には、ハッキング・グループ自体に関する情報が含まれているため、この脅威アクターは Microsoft が知っていることを知ることができた。

現時点における Microsoft の説明は、この脅威アクターが住宅用プロキシとパスワード・スプレー攻撃を使用して少数のアカウントをターゲットにしていること、そして、それらのアカウントの1つは “レガシー/非本番テスト・テナントア・カウント” であったことだ。

Microsoft からの更新情報には、「今回に観測された Midnight Blizzard の活動では、パスワード・スプレー攻撃で限られた数のアカウントが標的とされていた。そして、失敗の回数に基づくアカウント・ブロックを回避することで、少ない試行回数が用いられ、検出を回避していた」と記されている。

この情報漏洩について、Microsoft が最初に公表したとき、多くの人々が疑問に思ったのは、このテスト・アカウントにおける MFA の有効化/無効化について、組織内のアカウントに横展開するのに十分な権限を、レガシー・アカウントが持っていたのかという点だった。

すでに Microsoft が認めているのは、このアカウントで MFA が有効になっていなかったことであり、また、脅威アクターが正しいパスワードをブルートフォースした時点で、Microsoft のシステムへのアクセスが可能になっていた点である。

さらに Microsoft は、このテスト・アカウントは、Microsoft の企業環境への高度なアクセスを持つ、OAuth アプリケーションにアクセスできたと説明している。この昇格されたアクセスにより、以下に説明するように、この脅威アクターは他の企業のメールボックスにアクセスするための、追加の OAuth アプリケーションを作成することができた。

Microsoft — Midnight Blizzard は、最初のアクセスを活用して、Microsoft の企業環境への昇格アクセスを持つレガシー・テスト OAuth アプリケーションを特定し、侵害した。さらに、この脅威アクターは、悪意の OAuth アプリケーションを作成した。

彼らは新しいユーザー・アカウントを作成し、自身でコントロールできる悪意の OAuth アプリケーションに Microsoft 企業環境での許可を付与した。その後に、この脅威アクターはレガシー・テスト OAuth アプリケーションを使用して、メールボックスへのアクセスを許可する Office 365 Exchange Online full_access_as_app ロールを付与した。— Microsoft

Microsoft は、Exchange Web Services (EWS) のログからトレースを取得し、ロシア政府の支援を受けたハッキング・グループが使用する、既知の戦術や手順と組み合わせることで、この悪意の活動を特定した。

それらが発見されたことで、Midnight Blizzard が他の組織を標的にして施行した同様の攻撃を、Microsoft は見分けることができた。

Microsoft は最新アップデートで、「Midnight Blizzard に関する当社の調査から得られた情報を使用して、同じアクターが他の組織を標的にしていることを、Microsoft Threat Intelligence は特定した」と警告している。

今週の初めに、Hewlett Packard Enterprise (HPE) は、Midnight Blizzard が Microsoft Office 365 の電子メール環境に不正アクセスし、2023年5月以降のデータを流出させたことを明らかにしている。

HPE の情報漏えいを開示したのは誰かと、BleepingComputer が尋ねたところ、この情報は共有していないと同社は答えた。しかし、情報が重複していることから、影響を受けたと Microsoft が確認した企業の1つに、HPE が含まれるという可能性が高まっている。

また、中国のハッキング・グループ Storm-0558 が、2023年初頭に Microsoft クラウド・ベースの Exchange メール・サーバに侵入し、米国務省のアカウントから6万通のメールを盗み出したことが、同年の9月になって判明している。

Midnight Blizzard に対する防御

Microsoft は最新の投稿で、APT29 による攻撃を特定し、その悪質な活動をブロックすると発言している。そのために、広範な検出/ハンティングの方法を提供し、防御者を支援するとしている。

Microsoft のアドバイスは、ID/XDR/SIEM アラートに注目せよというものだ。以下のシナリオは、Midnight Blizzard の活動として特に疑わしいものである:

  • 電子メールにアクセスするクラウド・アプリにおけるアクティビティの上昇。
  • Microsoft 以外の OAuth アプリで、クレデンシャル更新後の API 呼び出しが急増し、不正アクセスを示唆している。
  • Microsoft OAuth 以外のアプリケーションで Exchange Web Services API の使用量が増加しており、データ流出の可能性がある。
  • 既知の危険なメタデータを持つ Microsoft 以外の OAuth アプリの存在。
  • リスクの高いセッションからユーザーが作成した OAuth アプリの存在。

同社は、Microsoft Defender XDR と Microsoft Sentinel の標的型攻撃クエリ (提供されている) を使用して、疑わしいアクティビティを特定し、調査することも推奨している。

この、Microsoft を標的とする Midnight Blizzard の攻撃ですが、第一報は 2024/01/20 の「Microsoft の報告:ロシア由来の Midnight Blizzard にパスワード・スプレーで侵入された」となっています。Microsoft のコアが狙われ、情報が流出したということは、さらなる侵害にも繋がる可能性があるため、とても心配です。なお、これまでに Midnight Blizzard は、Microsoft TeamsJetBrains TeamCity などを侵害してきています。よろしければ、APT29 で検索と併せて、ご参照ください。