Microsoft

Microsoftは、中国のハッカーが政府機関を含む24の組織のExchange OnlineおよびAzure ADアカウントの侵害に使用された非アクティブなMicrosoftアカウント(MSA)の消費者署名キーをどのようにして盗んだのかはまだ分かっていない、と述べた。

「攻撃者がキーを入手した方法は現在調査中である」と Microsoft は本日公開された新しい勧告の中で認めた

この事件は、複数の政府機関の Exchange Online 電子メール サービスへの不正アクセスが発見されたことを受けて、 米国政府当局者によって報告されました

Microsoft は 6 月 16 日に攻撃の調査を開始し、 Storm-0558として追跡している中国のサイバースパイグループが約 25 の組織 (伝えられるところによると米国国務省と商務省を含む) の電子メール アカウントを侵害したことを発見しました。

攻撃者は、盗んだ Azure AD エンタープライズ署名キーを使用して、GetAccessTokenForResource API の欠陥を悪用して新しい認証トークンを偽造し、ターゲットの企業メールへのアクセスを提供しました。

Storm-0558 は、PowerShell および Python スクリプトを使用して、OWA Exchange Store サービスに対する REST API 呼び出し経由で新しいアクセス トークンを生成し、電子メールと添付ファイルを盗むことができます。ただし、レドモンドは、先月のExchange Onlineのデータ盗難攻撃でこのアプローチを使用したかどうかを確認しなかった。

Microsoftは本日、「当社の遠隔測定と調査により、侵害後の活動は標的となったユーザーの電子メールへのアクセスと窃取に限定されていたことが判明した」と付け加えた。

同社は7月3日に、影響を受けるすべての顧客に対して盗まれた秘密署名キーの使用をブロックし、その1日後に攻撃者のトークン再生インフラストラクチャがシャットダウンされたと述べた。

Azure AD トークンの偽造をブロックするために MSA 署名キーが取り消されました

6 月 27 日、Microsoft はまた、新しいアクセス トークンを生成する試みをすべてブロックするために有効な MSA 署名キーをすべて取り消し、新しく生成されたものをエンタープライズ システムで使用するキー ストアに移動しました。

「Microsoftが攻撃者が取得したMSA署名鍵を無効にして以来、鍵に関連する攻撃者の活動は観察されていない」とMicrosoftは述べた。

ただし、アクティブな MSA 署名キーをすべて取り消し、API の脆弱性を軽減した後、レドモンド市はキー関連の Storm-0558 の悪意のあるアクティビティを検出しなくなりましたが、今日の勧告では、攻撃者が現在は他の手法に切り替えていると述べています。

「Microsoft が攻撃者が取得した MSA 署名鍵を無効にして以来、鍵に関連する攻撃者の活動は観察されていません。さらに、Storm-0558 が他の手法に移行しているのが確認されており、これは攻撃者が署名鍵を利用したりアクセスしたりできないことを示しています。 」とマイクロソフトは述べた。

マイクロソフトは火曜日、リトアニアのビリニュスで開催された NATO サミットに参加する組織に対する最近のフィッシング攻撃で、ロシアのサイバー犯罪グループ RomCom がまだパッチが適用されていない Office ゼロデイを悪用したことも明らかにしました。

RomCom オペレーターは、ウクライナ世界会議になりすました悪意のある文書を使用して、MagicSpell ローダーや RomCom バックドアなどのマルウェア ペイロードをプッシュして展開しました。