ロシア諜報機関 (SVR) と提携し、SolarWinds や Microsoft や HPE などの組織に対する攻撃の背後にある組織である「Midnight Blizzard」は、自動化されたクラウド サービス アカウントと休眠アカウントを活用して、標的組織のクラウド環境にアクセスしています。

この攻撃は、脅威アクター (APT29、Cozy Bear、Dukes としても知られる) が、従来標的にしてきた分野の組織によるクラウド サービスの採用の増加に適応するため、戦術に大きな変化をもたらしたことを示しています。

大きな変化

月曜日の勧告では、英国は 国家サイバーセキュリティセンター (NCSC)、と協力して 米国サイバーセキュリティおよびインフラストラクチャ セキュリティ エージェンシー (CISA) および他の国の同業者は、Midnight Blizzard の戦術の変化と、組織が脅威アクターによるクラウド環境への最初のアクセスを阻止する必要性について警告しました。

「クラウド インフラストラクチャに移行した組織にとって、SVR などの攻撃者に対する防御の第一線は、初期アクセス時の SVR の TTP から保護することであるべきである」と勧告では指摘し、脅威に対する軽減策を推奨しています。

米国などは、Midnight Blizzard を、少なくとも 2009 年から活動している脅威アクターであるロシアの SVR と高い信頼を持って結び付けている。当初、このグループは、政府機関、シンクタンク、組織に対する情報収集攻撃で注目を集めた。ヘルスケアとエネルギーの分野で。近年、特に SolarWinds 攻撃以来、Midnight Blizzard はソフトウェア サプライ チェーン、医療研究、法執行機関、航空、軍需産業など、他の多くの組織を標的にしています。最近 Microsoft と HPE は攻撃者を非難 それぞれの企業の電子メール環境に侵入し、上級幹部や主要担当者の電子メールにアクセスするためです。

これまでの攻撃の多くで、Midnight Blizzard はソフトウェアの脆弱性やその他のネットワークの弱点を悪用して、標的組織のオンプレミス IT インフラストラクチャへの初期アクセスを取得してきました。しかし、標的の多くがクラウドネイティブ環境やクラウドホスト環境に移行しているため、脅威アクターは方向転換してクラウド サービスも標的にする必要に迫られています。 「被害者のクラウドホストネットワークの大部分にアクセスするには、攻撃者はまずクラウドプロバイダーへの認証に成功する必要がある」とNCSCは述べた。

サービスアカウントと休眠アカウントをターゲットにする

Midnight Blizzard がその目標を達成するために採用した一般的な戦術の 1 つは、ブルートフォース推測とパスワード スプレー攻撃を使用してクラウド サービス アカウントにアクセスすることです。これらは通常、クラウド アプリケーションとサービスを管理するための、人間以外の自動アカウントです。このようなアカウントは二要素認証メカニズムでは簡単に保護できないため、侵害や乗っ取りが成功する可能性がより高いとNCSCは述べている。

しかし、脅威アクターによるこれらのアカウントの乗っ取りを特に問題とする別の問題があります。 「これらのアカウントへのアクセスを取得すると、攻撃者はネットワークへの特権的な初期アクセスを取得し、さらなる作戦を開始できるようになる」とNCSCは警告した。これらの攻撃の多くでは、攻撃者は正規の住宅 IP アドレスを使用してパスワード スプレー攻撃を開始するため、防御者がその活動の正体を特定することが困難になっています。

Midnight Blizzardがターゲットのクラウド環境への初期アクセスを獲得するために使用したもう1つの戦術は、被害組織で働いていないが、システム上にアカウントが残っている可能性があるユーザーに属する休眠アカウントを利用することであると勧告は指摘している。場合によっては、攻撃者が、非アクティブなアカウントにログインし、パスワードをリセットする指示に従うことによって、起動された可能性のあるネットワークへのアクセスを回復することがあります。

認証トークンの悪用

Midnight Blizzard が最初のクラウド アクセスに使用したその他の戦術には、 不正に入手したOAuthトークン パスワードを必要とせず、またいわゆる MFA 爆撃または MFA 疲労 被害者に標的のアカウントを認証させるための攻撃。攻撃者はクラウド環境にアクセスすると、永続的なアクセスを得るために自分のデバイスをクラウド環境に登録することがよくあります。

この脅威を軽減するために、組織は可能な限り多要素認証を使用し、パスワード漏洩の影響を軽減する必要があるとNCSCは述べています。 2 番目の認証要素を使用することが難しい状況では、組織はサービス アカウントを保護するための強力なパスワードを作成する必要があります。 NCSC はまた、組織が以下を実装することを推奨しました。 最小特権の原則 サービス アカウントを悪用して攻撃者が実行できる可能性を制限します。

さらに、この勧告では、認証トークンのセッションの有効期間を「実用的な限り短く」保ち、盗まれたトークンを使って脅威アクターができることを制限し、デバイス登録ポリシーでクラウド環境への未承認のデバイスの登録を許可しないようにすることを推奨しています。

「有効なサービスアカウントのように見えるが、正規のサービスでは決して使用されないカナリアサービスアカウントを作成する必要がある」と勧告では述べている。このようなアカウントの悪用は不正アクセスの明らかな兆候であり、直ちに調査する必要があります。

• SEO を活用したコンテンツと PR 配信。 今日増幅されます。
• PlatoData.Network 垂直生成 Ai。 自分自身に力を与えましょう。 こちらからアクセスしてください。
• プラトアイストリーム。 Web3 インテリジェンス。 知識増幅。 こちらからアクセスしてください。
• プラトンESG。 カーボン、 クリーンテック、 エネルギー、 環境、 太陽、 廃棄物管理。 こちらからアクセスしてください。
• プラトンヘルス。 バイオテクノロジーと臨床試験のインテリジェンス。 こちらからアクセスしてください。
• 情報源： https://www.darkreading.com/cloud-security/russia-s-midnight-blizzard-targeting-service-accounts-for-initial-cloud-access