CISA/FBI/NSA の共同勧告:イランのハッカーが Microsoft 365 などに MFA 疲労攻撃を展開

Iranian Hackers Target Microsoft 365, Citrix Systems with MFA Push Bombing

2024/10/18 HackRead — イランのハッカーたちが、ブルートフォース攻撃の手法を用いて、重要なインフラ組織を標的にしている。この記事で掘り下げていくのは、MFA プッシュ攻撃や認証情報の窃取などの、彼らが用いるテクニックの詳細である。これらの高度な脅威から組織を保護し、効果的なセキュリティ対策を導入する方法について学んでいこう。

CISA/FBI/NSA などが連携する、国際的なパートナーシップから生み出されたサイバー・セキュリティ共同勧告では、イランのハッカーたちがネットワークを標的にしていることが指摘され、重要インフラ組織に対する警告が発せられている。このアドバイザリによると、医療/政府/IT/エンジニアリング/エネルギーなどの、さまざまな分野の重要インフラに、ハッカーたちが不正にアクセスしているという。


攻撃者たちが用いる主要な攻撃手法はブルートフォース戦術であり、複数のアカウントで共有されるパスワードの組み合わせを悪用する、パスワード・スプレーなどにより不正アクセスを試みている。しかし初期侵入において、別の方式も用いられているようだが、現時点では解明されていない。

このアドバイザリによると、ブルートフォース攻撃により取得した有効なメール・アカウントを悪用するハッカーたちは、Microsoft 365/Azure/Citrix などのシステムへの初期アクセスを試みる。

その一方で攻撃者たちは、ユーザーに対して大量のログイン要求を送信し、ユーザーが誤ってアクセスを承認するまで攻撃を続けるという、多要素認証 (MFA:multi-factor authentication) の問題を悪用することもある。 この手法は、MFA  疲労攻撃、または、プッシュ爆撃攻撃として知られている。

2つの確認されたケースで攻撃者たちが悪用していたのは、侵害済のオープンな MFA 登録と、パブリック向け Active Directory Federation Service にリンクされた、セルフサービスのパスワード再設定ツールである。さらに、攻撃者たちは、初期アクセスを獲得するために、期限切れのパスワードや侵害済のアカウントを悪用することもある。

認証情報の窃取とアクセス維持

イランの攻撃者たちは、ネットワーク内部に侵入すると、永続的なアクセスを維持するための手段を講じる。それに加えて、正規ユーザーのパスワードが変更された場合であっても、侵害したアカウントを用いてアクセスを維持するために、攻撃者自身のデバイスを MFA 登録することが多いとされる。

さらに、RDP (Remote Desktop Protocol) などの技術を悪用することで、侵害したネットワーク内で水平方向へと移動し、新たなリソースにアクセスし、特権を拡張する可能性もある。

攻撃者たちは、ネットワーク内で新たな認証情報を盗み出す、さまざまな方法を利用する。そこに含まれるものには、オープンソースのツールを使用した認証情報の収集や、脆弱性を悪用した Active Directory 情報へのアクセスなどがある。また、特権を昇格させ、システムにおける高レベルの制御権限を獲得しようと試行することもある。その結果として、重要なシステムを不正に操作し、混乱に陥れることも可能になる。

LOTL (Living off the Land)

イランのハッカーたちは、合法的なシステム・ツールや技術を活用することで、ネットワークに関する情報を収集し、価値のある標的を特定していく。このアプローチは、LOTL (Living off the Land) と呼ばれるものであり、正規のユーザーとして検出を回避しながら活動を継続するためのものだ。

ハッカーたちは、隠すの Windows コマンドライン・ツールを悪用して、ドメイン・コントローラー/信頼されたドメイン/ユーザー・アカウントに関する情報を収集していく。さらに、特定のクエリを悪用して Active Directory を検索し、ネットワーク・デバイスに関する詳細情報を収集することもある。

SafeBreach の CISO である Avishai Avivi は、「いまはサイバー・セキュリティ啓発月間であり、イランのサイバー犯罪者たちに関する CISA の警告は、MFA の悪用について注意を促すタイムリーなものである。犯罪者たちは、ユーザーが無意識のうちに、MFA リクエストを承認することを期待している」と警告している。

Avivi のアドバイスは、ユーザーがセッションを開始したときに、MFA プロンプトを常に確認すべきというものだ。その理由は、攻撃者は盗んだ認証情報を頻繁にテストし、MFA の疲労攻撃の悪用を試みるところにある。この警告は、重要インフラ組織に焦点を当てたものであるが、この慎重さは、業務/個人アカウントの保護にも適用される。

このキャンペーンの目的

このキャンペーンの主な目的は、認証情報の窃取と情報収集であると考えられている。いったんアクセスを許すと、ユーザー認証情報や内部ネットワーク情報が窃取される可能性がある。また、組織へのリモート・アクセスやインベントリに関連するファイルが、不正にダウンロードされる可能性もある。これらの情報が、データ窃取などの悪質な行為で悪用される可能性や、サイバー犯罪者のフォーラムで販売される恐れが生じる。

このアドバイザリで、重要なインフラを担う組織に対して推奨されているのは、強力なパスワード・ポリシーの導入と、全ユーザー・アカウントにおける多要素認証 (MFA) の適用である。また、危殆化を防ぐために、MFA の設定を定期的に見直すべきだとしている。

イランの脅威アクターたちの手法は、認証バイパスのための段階的な攻撃手法と、侵入に成功した後の永続的なアクセスを確保するための、まるで教科書のようなものですね。これまで、このブログでは、イランの APT について、それほど取り上げずにきましたが、イスラエルとヒズボラの紛争により事態は変化していると思い、この記事を訳してみましたが、CISA/FBI/NSA などが警告を出す理由も解るという内容です。よろしければ MFA 疲労で検索と、カテゴリ LOLBin を、ご参照ください。