29 年の SolarWinds 攻撃の背後にあるロシアのハッカー グループ APT2021 に関する新しい Mandiant の調査によると、攻撃者は新しい戦術を採用しており、引き続き Microsoft 365 を積極的に標的にしています。
APT29 は、以前の被害者、特に NATO 諸国に影響力のある、または密接な関係を持つ被害者を再度標的にすることも確認されています。 これは、サイバー犯罪者がしつこく攻撃的であり、技術的スキルをさらに向上させるために多大な努力を払っていることを示しています。
運用上の安全性に焦点を当てる
APT29 は、優れた運用セキュリティと回避戦術を引き続き示しています。 被害者の環境への最近のアクセスを難読化するために家庭でプロキシを使用することに加えて、Mandiant は APT29 が Azure Virtual Machines に目を向けていることを観察しました。 APT29 が使用する仮想マシンは、被害組織外の Azure サブスクリプションに存在します。
Mandiant は、これらのサブスクリプションが侵害されたのか、APT29 によって購入されたのかを認識していません。 信頼できる Microsoft IP アドレスからラスト マイルへのアクセスを取得すると、検出される可能性が低くなります。 Microsoft 365 自体は Azure 上で実行されているため、Azure AD サインインと統合監査ログには既に多くの Microsoft IP アドレスが含まれており、IP アドレスが悪意のある VM に関連付けられているのか、M365 バックエンド サービスに関連付けられているのかを迅速に判断することは困難な場合があります。
Mandiant の調査からの洞察
- 新しい戦術には、Microsoft での Purview 監査の無効化が含まれます。 Purview 監査ライセンスは、サイバー犯罪者が特定のメールボックスにアクセスしているかどうかを判断するための重要なログ ソースです。 アクセス権を取得してそのライセンスを無効にすることで、APT29 はグループがその存在の痕跡を本質的に消去できるようにします。
- もう 29 つの戦術は、Azure Active Directory での多要素認証 (MFA) の自己登録プロセスを利用することです。 APT29 がメールボックスのリストに対してパスワード推測攻撃を開始した後、ハッカーは非アクティブなアカウントで MFA にサインアップすることができました。 登録後、APTXNUMX はそのアカウントを使用して会社の VPN インフラストラクチャにアクセスできました。
Mandiant は、英語のブログで完全なレポートを提供しています。
詳細は Mandiant.com で
クライアントについて Mandiant は、動的なサイバー防御、脅威インテリジェンス、インシデント対応のリーダーとして認められています。 サイバー最前線での数十年の経験を持つ Mandiant は、組織が自信を持ってプロアクティブにサイバー脅威を防御し、攻撃に対応できるよう支援します。 Mandiant は現在、Google Cloud の一部です。