サイバーセキュリティ企業マンディアントの研究者は、コージーベアまたはノーベリウムとしても知られる国家支援のロシアハッカーグループAPT29が、機密データを盗むスパイ活動で米国およびNATO関連組織のMicrosoft 365アカウントを積極的に標的にしていることを発見した。
少なくとも 2014 年から APT29 を追跡している Mandiant は、ロシアのスパイ集団が「新たな戦術を使用し、例外的な運用セキュリティと回避を示す攻撃で Microsoft 365 を積極的にターゲットにしている」と指摘しました。
同社はレポートでAPT29の新しい高度なTTP(戦術、技術、手順)の一部を強調しました。出版された木曜日に。
脅威アクターにとって、最も厄介なログ セキュリティ機能の 1 つは、Microsoft 365 スイートのよりグレードの高いセキュリティ機能である Purview Audit です。この機能は、E5 ライセンスおよび特定のアドオンで利用可能で、アクセスされたメール アイテムの監査を有効にします。 [アクセスされたメール アイテム] には、プログラム (Outlook、ブラウザ、グラフ API) とは関係なくメール アイテムがアクセスされるたびに、ユーザー エージェント文字列、タイムスタンプ、IP アドレス、およびユーザーが記録されます。
Mandiant は、APT29 が受信トレイを電子メール収集のターゲットにするために、侵害されたテナントのターゲット アカウントで Purview Audit を無効にできることを観察しました。
「無効にすると、受信トレイをターゲットにして電子メールを収集し始めます。現時点では、攻撃者がどのアカウントをいつ電子メール収集の対象としたのかを確認するために組織が利用できるログはありません。 APT29 のターゲティングと TTP を考慮すると、Mandiant は、Purview Audit の無効化後の最も可能性の高いアクティビティは電子メール収集であると考えています」と Mandiant が発行したレポートには書かれています。
「ホワイトペーパーを更新しましたMicrosoft 36 の修復および強化戦略5この手法の詳細と、検出と修復のアドバイスを含めます。さらに、高度な監査が無効になっているユーザーについてレポートするための新しいモジュールを使用して Azure AD Investigator を更新しました。」
研究者らはまた、APT29 で採用されているもう 1 つの高度な新しい戦術を発見しました。これは、Azure Active Directory (AD) の多要素認証 (MFA) の自己登録プロセスを利用します。
この方法は、Azure AD の既定の構成で新しい MFA 登録が厳密に適用されていないことを悪用します。つまり、ユーザー名とパスワードを知っている人なら誰でも、初めてのユーザーである限り、任意の場所およびデバイスからアカウントにアクセスして MFA を登録できます。そうするために。
「ある例では、APT29 は未知の手段で入手したメールボックスのリストに対してパスワード推測攻撃を実行しました。攻撃者は、設定されていたものの使用されていなかったアカウントのパスワードを推測することに成功しました。アカウントが休止状態だったため、Azure AD は APT29 に MFA への登録を促しました。登録すると、APT29 はそのアカウントを使用して、認証と MFA に Azure AD を使用していた組織の VPN インフラストラクチャにアクセスできるようになりました」とレポートは続けています。
最後に、Mandiant は Azure 仮想マシン (VM) を使用して APT29 を観察しました。 APT29 によって使用される仮想マシンは、被害組織の外部の Azure サブスクリプションに存在します。攻撃者グループがこれらのサブスクリプションを侵害したのか、購入したのかは不明です。
このグループは、悪意のある管理行為と良性の管理行為を混ぜ合わせて、その軌道に乗っている可能性のある人々を混乱させていることも観察されています。
「たとえば、最近の調査では、APT29 は Azure AD の全体管理者アカウントへのアクセスを取得しました。彼らはこのアカウントを使用して、ApplicationImpersonation 権限を持つサービス プリンシパルをバックドアし、テナント内の対象のメールボックスから電子メールの収集を開始しました」とレポートには追加されています。
追加されると、APT29 はサービス プリンシパルとして Azure AD に認証され、そのロールを使用して電子メールを収集できるようになりました。統合するために、APT29 はバックドア サービス プリンシパルの表示名と一致する共通名 (CN) を持つ証明書を作成し、それに新しいアプリケーション アドレス URL を追加しました。
「APT29 は、その技術的トレードクラフトと厳格な運用セキュリティへの取り組みを開発し続けています。 Mandiant は、APT29 が斬新かつステルスな方法で Microsoft 365 にアクセスするための技術と戦術の開発と歩調を合わせていくことを期待しています」とレポートは結論づけています。