Microsoft は、数日前に自社の企業電子メール システムに侵入した攻撃のような、執拗な国家攻撃から保護する方法に関する組織向けの新しいガイダンスをリリースしました。
このガイダンスの主な焦点は、悪意のある OAuth アプリを使用して活動を隠し、アプリケーションを起動しようとするにもかかわらず、アプリケーションへのアクセスを維持する脅威アクターから保護するために組織が何ができるかにあります。
によるマイクロソフトへの攻撃 ミッドナイトブリザード ロシア対外情報局 (SVR) に所属する脅威グループ、別名 Cozy Bear は、上級幹部を含む数名の Microsoft 従業員の電子メール アカウントを侵害しました。
2023 年 XNUMX 月下旬から数週間にわたり、攻撃者は Microsoft の企業電子メール アカウントにアクセスし、電子メールと添付文書を窃取しました。これは、同社が Midnight Blizzard 自体についてどのような情報を持っている可能性があるかを明らかにするためでした。
今週明らかになった最近の SEC への提出書類では、米国政府が SolarWinds ハッキングの実行者として正式に特定した攻撃者が、 Hewlett Packard Enterprise (HPE) のセキュリティも侵害されました 昨年 5 月にクラウドベースの電子メール環境を導入しました。これらの攻撃は、SVR/Midnight Blizzard による今後の潜在的なキャンペーンに向けた、広範かつ継続的な情報収集活動の一環であると考えられています。
その中で 19月XNUMX日のブログ Microsoft は当初、この攻撃を公表し、Midnight Blizzard は、脅威アクターがパスワード スプレー攻撃によって侵害した従来の非運用テスト アカウントを介して自社環境への初期アクセスを取得したと説明しました。会社によるさらなる調査 —今週の最新ブログで詳しく説明されています — Midnight Blizzard の攻撃者が、「膨大な数」の正規の住居用 IP アドレスを使用して、Microsoft の標的となったアカウントに対してパスワード スプレー攻撃を開始したことを示しました。そのうちの 1 つはたまたま彼らが侵害したテスト アカウントでした。 Microsoftによると、攻撃者は住宅用プロキシインフラストラクチャを攻撃に利用しており、活動を難読化し、検出を回避するのに役立っているという。
OAuth アプリの悪用
攻撃者はテスト アカウントへの最初のアクセス権を取得すると、それを使用して、Microsoft の企業環境への特権アクセスを持つ従来のテスト OAuth アプリケーションを特定し、侵害しました。その後、「攻撃者は追加の悪意のある OAuth アプリケーションを作成した」と Microsoft は述べています。 「彼らは、攻撃者が制御する悪意のある OAuth アプリケーションに対して Microsoft 企業環境で同意を与えるために、新しいユーザー アカウントを作成しました。」
Microsoftによると、攻撃者は侵害した従来のOAuthアプリを使用して、Office 365 Exchangeメールボックスへのフルアクセスを自分自身に許可したという。 「OAuth の悪用により、攻撃者は、最初に侵害されたアカウントへのアクセスを失った場合でも、アプリケーションへのアクセスを維持できるようになります」と同社は述べています。
Astrix Securityの調査チームリーダー、タル・スクヴェラー氏は、Midnight Blizzardの攻撃者らが悪意のあるOAuthトークンを利用したのは、侵害されたアカウントへのアクセスが検出されることを知っていた可能性が高いからだと述べている。
「ユーザー (人間) アカウントのセキュリティに関して厳しい監視が行われていることを考慮すると、今回のパスワード スプレー攻撃の成功には時間制限がありました。」と彼は言います。 「そのため、彼らは[アクセス権]を持っている間にOAuthアプリを作成して同意し、攻撃者に対して無期限のOAuthアクセストークンを生成しました。」
これらの権限の一部は、最初に侵害されたアカウントが無効化または削除されても存続するため、攻撃者が最初に侵害されたアカウント経由でアクセスを失った場合でもアクセスを保持できるとスクヴェラー氏は述べています。
悪意のある OAuth の阻止
Microsoft の 25 月 XNUMX 日のブログでは、OAuth アプリの悪用に関連するリスクを軽減するためのガイダンスを組織に提供しました。この推奨事項には、組織がすべての ID (ユーザーとサービスの両方) に関連付けられている現在の特権レベルを監査し、高い特権を持つ ID に重点を置く必要性が含まれています。
「特権が不明な ID に属している場合、使用されなくなった ID に関連付けられている場合、または目的に適していない場合は、特権をより厳密に精査する必要がある」と Microsoft は述べています。権限を確認する際、管理者は、ユーザーやサービスが必要以上の権限を持つことがよくあることに留意する必要があるとブログでは指摘している。
組織はまた、次のようなアイデンティティを監査する必要があります。 アプリケーションのなりすまし Exchange Online では、サービスがユーザーになりすましてユーザーと同じ操作を実行できるようにする特権を付与する必要があると Microsoft はアドバイスしました。
「構成が間違っていたり、スコープが適切に設定されていなかったりすると、これらの ID は環境内のすべてのメールボックスに広範にアクセスできる可能性があります」と同社は警告している。
組織は、悪意のある OAuth アプリケーションを特定するための異常検出ポリシーの使用や、アンマネージド サービスから接続するユーザーに対する条件付きアクセス アプリケーション制御も検討する必要があると Microsoft は述べています。
真夜中の吹雪を検知する方法
このブログには、Midnight Blizzard に関連するような悪意のあるアクティビティを追跡および検出するためにログ データで何を探すべきかについての詳細なガイダンスも含まれています。
スクヴェラー氏は、姿勢管理ツールは、組織が環境内のすべての非人間 ID (NHI)、特に最も高いリスクをもたらす ID を棚卸しするのに役立つと述べています。
「特に、Midnight Blizzard で使用される TTPS の場合、これらのツールは、Office 365 Exchange への認証時にすべてのユーザーになりすますアクセスが過剰に許可されている、未使用の OAuth アプリケーションを強調表示します。」と彼は言います。
- SEO を活用したコンテンツと PR 配信。 今日増幅されます。
- PlatoData.Network 垂直生成 Ai。 自分自身に力を与えましょう。 こちらからアクセスしてください。
- プラトアイストリーム。 Web3 インテリジェンス。 知識増幅。 こちらからアクセスしてください。
- プラトンESG。 カーボン、 クリーンテック、 エネルギー、 環境、 太陽、 廃棄物管理。 こちらからアクセスしてください。
- プラトンヘルス。 バイオテクノロジーと臨床試験のインテリジェンス。 こちらからアクセスしてください。
- 情報源: https://www.darkreading.com/cyberattacks-data-breaches/microsoft-shares-new-guidance-in-wake-of-midnight-blizzard-cyberattack
