Ongoing Azure Compromises Target Senior Execs, Microsoft 365 Apps
2024/02/12 DarkReading — 企業の Microsoft Azure クラウドを標的とする、現在進行中のキャンペーンにより、すでに数十の環境と数百の個人アカウントが被害にあっている。このキャンペーンを操る脅威アクターは、様々な地域や業種の組織に対して、データの流出/金融詐欺/なりすましなどを、手当たり次第に仕掛けているように見える。しかし、その一方で、企業の経営者層の個人を標的とするオーダーメイドのフィッシングといった、きわめて洗練された攻撃も仕掛けられている。
Proofpoint の担当者は、「この脅威アクターは、場当たり的なアプローチをしているように見えるかもしれない。しかし、攻撃後の広範な活動は、その洗練度がますます高まっていることを示唆している。脅威アクターが、個別の状況に合わせて、多様なツールキットから適切な TTPs (Tools, Tactics, and Procedures) を使用していることは、彼らの適応力を実証しているといえる。この順応性は、クラウドにおける昨今の脅威状況の、増加傾向を反映したものと言える」と、Dark Reading に対して述べている。
企業クラウドの侵害
この、現在進行中のキャンペーンは、遅くとも 2023年11月から始まったと思われるが、共有ドキュメントを含む不審なEメールが、研究者たちに発見されたことで発覚したという。
この種のドキュメントでは、個別のフィッシング・ルアーが使われることや、悪意のフィッシング・ページへのリダイレクト・リンクが埋め込まれることが多い。いずれの場合においても、Microsoft 365 のログイン認証情報を入手することが、脅威アクターたちの目的である。
このキャンペーンについて特筆すべき点は、攻撃対象が組織内のあらゆる層の従業員であることだ。たとえば、顧客マネージャーや財務マネージャーといった職責のアカウントは、貴重なリソースにアクセスが可能な中堅層の役職者のものであり、少なくとも、より上位の役職になりすますための基盤として悪用できる。さらに、VP/President/CFO/CEO といった、経営者層を標的とする攻撃もある。
暗雲が立ち込める、組織へのサイバー攻撃
ユーザー・アカウントへのアクセスに成功した脅威アクターは、企業のクラウド・アプリを、まるで食べ放題のビュッフェのように扱う。
彼らは、自動化されたツール・キットを使って、Microsoft 365 のネイティブ・アプリケーションを徘徊し、データ窃盗から金銭詐欺などにいたるまでの、あらゆる悪意の活動を実行する。
たとえば、”My Signins” を介して、被害者の多要素認証 (MFA:multifactor authentication) 設定を操作し、認証コードを受け取るための独自の認証アプリや電話番号を登録する。
さらに彼らは、Exchange Online を介して組織内を横移動し、ターゲットに定めた個人 (特に、人事情報や財務リソースへのアクセス権を持つ従業員) に対して、高度にパーソナライズされたメッセージを送信する。そして、Exchange (365 内の他のソースも含む) から企業の機密データを流出させた上で、被害者のメール・ボックスから、すべての悪意の痕跡を消去する、専用ルールが作成されていたことも、確認されている。
こういった攻撃を阻止するために、Proofpoint が推奨しているのは、イニシャル・アクセスの試行や、アカウント乗っ取りの可能性に、細心の注意を払うことだ。特に、侵害の指標 (IoC:Indicator of Compromise) として研究者たちが特定した、 Linux のユーザー・エージェントは要注意である。
また、ユーザー企業にとって必要とされるのは、すべてのエンタープライズ・クラウド・ユーザーに対して厳格なパスワード管理を実施し、侵害が成功した場合の潜在的な損害を抑えるために、自動修復ポリシーを採用することである。
脅威アクターたちが、Azure 上の機密情報を窃取するために、企業の管理職のアカウントを狙い、フィッシング攻撃を仕掛けるという、とても分かりやすい展開です。しかし、騙す方のテクニックが向上していることで、分かっていても騙されてしまうケースが多発しているようです。このキャンペーン、ご注意ください。よろしければ、Phishing で検索も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.