Microsoft Azureのアカウントを乗っ取るサイバー攻撃に注意、被害を確認
2024年2月16日(金)7時43分 マイナビニュース
Proofpointは2月12日(米国時間)、「Community Alert: Ongoing Malicious Campaign Impacting Azure Cloud Environments|Proofpoint US」において、進行中のキャンペーンにより数十のMicrosoft Azure環境が攻撃を受け、数百のユーザーアカウントが侵害されたと報じた。影響を受けたアカウントには組織の幹部アカウントが含まれるという。
○進行中のサイバー攻撃キャンペーン
Proofpointによると、2023年11月下旬頃から認証情報フィッシングとクラウドアカウント乗っ取り(ATO: Account Takeover)手法を統合した、新しい悪意のあるサイバー攻撃のキャンペーンを検出したという。この脅威アクターはさまざまな組織のさまざまな肩書を持つ幅広い個人に焦点を当てており、世界中の数百人のユーザーに影響が出ているとみられる。
この一連の攻撃の調査において、Proofpointは次のLinuxユーザーエージェントの使用を確認している。脅威アクターはこのユーザーエージェントを使用して「Microsoft Office Home」アプリケーションに不正アクセスするとともに、Microsoft Office 365への追加の不正アクセスを実行するとされる。
Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/120.0.0.0 Safari/537.36
○サイバー攻撃の影響
この脅威アクターは初期アクセスに成功すると、次の攻撃を実施する。
○多要素認証(MFA: Multi-Factor Authentication)を操作
脅威アクターは自身の多要素認証を登録して永続的なアクセスを確保する。これまでに認証アプリ、ショートメッセージサービス(SMS: Short Message Service)、電話など、さまざまな多要素認証を選択したことが確認されている。
○データの窃取
金融資産、内部セキュリティプロトコル、ユーザーの資格情報などを窃取する。
○内部および外部へのフィッシング
侵害したアカウントのメールボックスにアクセスし、影響を受ける組織内の横移動や、特定のユーザーを標的としたフィッシング攻撃に使用する
○金融詐欺
組織内の人事と財務部門を標的としたメールを送信して金融詐欺を試みる
○メールボックスのルール
脅威アクターは侵害したアカウントのメールボックスのフィルターを修正し、悪意のある活動の痕跡をすべて消去する難読化されたルールを作成する
○対策
Proofpointはこの攻撃を回避するために次の対策を推奨している。
ログを監視して脅威アクターのユーザーエージェント文字列とソースドメインを検出する
侵害されたユーザーおよび標的になったユーザーの資格情報の即時変更を強制する。影響を受ける可能性のあるユーザーの資格情報を定期的に変更する
アカウント乗っ取り(ATO)およびクラウド環境内の潜在的な不正アクセスを特定する。このために、悪用されたサービスおよびアプリケーションの可視化と、アカウントの侵害および侵害後の活動を正確かつリアルタイムに検出する機能を持つセキュリティソリューションを導入する
電子メールの脅威(フィッシング、マルウェア、なりすましなど)、ブルートフォース攻撃、パスワードスプレー攻撃を特定できるようにする
自動修復ポリシーを採用して脅威アクターの滞在時間を短縮する
○進行中のサイバー攻撃キャンペーン
Proofpointによると、2023年11月下旬頃から認証情報フィッシングとクラウドアカウント乗っ取り(ATO: Account Takeover)手法を統合した、新しい悪意のあるサイバー攻撃のキャンペーンを検出したという。この脅威アクターはさまざまな組織のさまざまな肩書を持つ幅広い個人に焦点を当てており、世界中の数百人のユーザーに影響が出ているとみられる。
この一連の攻撃の調査において、Proofpointは次のLinuxユーザーエージェントの使用を確認している。脅威アクターはこのユーザーエージェントを使用して「Microsoft Office Home」アプリケーションに不正アクセスするとともに、Microsoft Office 365への追加の不正アクセスを実行するとされる。
Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/120.0.0.0 Safari/537.36
○サイバー攻撃の影響
この脅威アクターは初期アクセスに成功すると、次の攻撃を実施する。
○多要素認証(MFA: Multi-Factor Authentication)を操作
脅威アクターは自身の多要素認証を登録して永続的なアクセスを確保する。これまでに認証アプリ、ショートメッセージサービス(SMS: Short Message Service)、電話など、さまざまな多要素認証を選択したことが確認されている。
○データの窃取
金融資産、内部セキュリティプロトコル、ユーザーの資格情報などを窃取する。
○内部および外部へのフィッシング
侵害したアカウントのメールボックスにアクセスし、影響を受ける組織内の横移動や、特定のユーザーを標的としたフィッシング攻撃に使用する
○金融詐欺
組織内の人事と財務部門を標的としたメールを送信して金融詐欺を試みる
○メールボックスのルール
脅威アクターは侵害したアカウントのメールボックスのフィルターを修正し、悪意のある活動の痕跡をすべて消去する難読化されたルールを作成する
○対策
Proofpointはこの攻撃を回避するために次の対策を推奨している。
ログを監視して脅威アクターのユーザーエージェント文字列とソースドメインを検出する
侵害されたユーザーおよび標的になったユーザーの資格情報の即時変更を強制する。影響を受ける可能性のあるユーザーの資格情報を定期的に変更する
アカウント乗っ取り(ATO)およびクラウド環境内の潜在的な不正アクセスを特定する。このために、悪用されたサービスおよびアプリケーションの可視化と、アカウントの侵害および侵害後の活動を正確かつリアルタイムに検出する機能を持つセキュリティソリューションを導入する
電子メールの脅威(フィッシング、マルウェア、なりすましなど)、ブルートフォース攻撃、パスワードスプレー攻撃を特定できるようにする
自動修復ポリシーを採用して脅威アクターの滞在時間を短縮する
