更新 (2022 年 5 月): UNC2452 を APT29 に統合しました。この投稿とレポートで説明されている UNC2452 アクティビティは、現在 APT29 によるものです。
更新 (2021 年 10 月 28 日): Mandiant は最近、(ApplicationImpersonation ロールを介して) EWS のなりすましを使用して、被害者環境のメールボックスへの永続的なアクセスを維持する標的型攻撃者を観察しました。攻撃者がこの役割にアクセスできるようになると、その悪用を検出するのが難しくなり、被害者のテナント内のすべてのメールボックスを攻撃者が制御できるようになります。 Mandiant はまた、標的型攻撃者がクラウド サービス プロバイダー (CSP) 組織とその顧客との間の信頼関係を悪用して、サービス プロバイダーから下流の顧客に横移動し、標的テナントの管理者権限を取得することを確認しています。これらの調査結果を反映するために、ブログ投稿、ホワイト ペーパー、および Azure AD Investigator ツールが更新されました。
更新 (3 月 18 日): Mandiant は最近、標的型攻撃者がユーザーのメールボックスのメールボックス フォルダーのアクセス許可を変更して、標的型ユーザーの電子メール メッセージへの永続的なアクセスを維持していることを確認しました。通常、このステルス技術は防御者によって監視されず、侵害された資格情報を使用して目的の電子メール メッセージにアクセスする方法を攻撃者に提供します。これらの調査結果を反映するために、ホワイト ペーパー、ブログ投稿、および Azure AD Investigator ツールが更新されました。 Mandiant は、この調査に協力してくれた Microsoft の検出と対応チーム (DART) のメンバーに感謝します。
2020 年 12 月、FireEye は、 UNC2452として追跡されている広範な攻撃キャンペーンを発見し、公開しました。 Mandiant が可視化したこのキャンペーンに関連する侵入の一部 (すべてではありません) で、攻撃者はオンプレミス ネットワークへのアクセスを使用して、被害者の Microsoft 365 環境への不正アクセスを取得しました。
目標と目的
UNC2452 およびその他の脅威アクターがオンプレミス ネットワークから Microsoft 365 クラウドに横方向に移動するために使用した手法については、ホワイト ペーパー「 Microsoft 365 を UNC2452 から防御するための修復および強化戦略」で詳しく説明しています。また、組織が積極的に環境を強化し、同様の手法が観察された環境を修正する方法についても説明します。
Mandiant は、監査スクリプトAzure AD Investigatorを GitHub リポジトリを通じてリリースしています。これを使用して、組織は Microsoft 365 テナントをチェックして、UNC2452 で使用されているいくつかの手法の指標を確認できます。このスクリプトは、管理者とセキュリティ担当者に、それらが本当に悪意のあるものであるか、正当な活動の一部であるかを判断するためにさらなるレビューが必要になる可能性があるアーティファクトについて警告します。ホワイト ペーパーで詳述されている攻撃者の手法の多くは、本質的に二重用途であり、脅威アクターだけでなく、正当なツールでも使用できます。したがって、特定の構成パラメーターの詳細なレビューが保証される場合があります。これには、構成が承認され、期待されるアクティビティと一致していることを関連付けて検証することが含まれます。
攻撃者の戦術、技術、手順 (TTP)
Mandiant は、UNC2452 およびその他の攻撃者が、次の 5 つの主要な手法を組み合わせて Microsoft 365 クラウドに横方向に移動することを確認しています。
- Active Directory フェデレーション サービス (AD FS) のトークン署名証明書を盗み、それを使用して任意のユーザーのトークンを偽造します ( ゴールデン SAMLと呼ばれることもあります)。これにより、攻撃者は、ユーザーのパスワードや対応する多要素認証 (MFA) メカニズムを必要とせずに、任意のユーザーとしてフェデレーション リソース プロバイダー (Microsoft 365 など) に認証される可能性があります。
- Azure AD で信頼できるドメインを変更または追加して、攻撃者が制御する新しいフェデレーション ID プロバイダー (IdP) を追加します。これにより、攻撃者は任意のユーザーのトークンを偽造することができ、 Azure AD バックドアとして説明されています。
- グローバル管理者やアプリケーション管理者など、高い特権を持つディレクトリ ロールを持つ Microsoft 365 に同期されているオンプレミスのユーザー アカウントの資格情報を侵害します。
- 電子メールの読み取り、任意のユーザーとしての電子メールの送信、ユーザー カレンダーへのアクセスなど、アプリケーションに割り当てられた正当なアクセス許可を使用するために、新しいアプリケーションまたはサービス プリンシパルの資格情報を追加して、既存の Microsoft 365 アプリケーションをバックドアします。
- 被害者のメールボックス (受信トレイなど) 内のフォルダーのアクセス許可を変更して、被害者の Microsoft 365 環境内の他のユーザーがその内容を読み取れるようにします。
- EWS 偽装を使用して、Microsoft 365 テナントのメールボックス所有者になりすまし、メール アイテムを一括収集します。
- UNC2452 が標的としている組織の顧客テナントを管理するアクセス許可を持つクラウド サービス プロバイダー (CSP) を標的にして侵害し、CSP に付与されたアクセス権を悪用して、標的の組織に対して侵害後の活動を実行します。
ホワイト ペーパーを読んで、実際の修復や強化戦略など、各手法の詳細な概要を確認し、監査スクリプトであるAzure AD Investigatorを確認してください。
検出
FireEye ヘリックス検出 |
MITERテクニック |
検出ロジック |
MICROSOFT AZURE ACTIVE DIRECTORY [危険なサインイン] |
Azure Identity Protection によって検出された疑わしいログオン アクティビティに関するアラート |
|
Office 365 [フェデレーション ドメイン セット] |
Office 365 の新しいドメイン フェデレーションに関するアラート |
|
Office 365 [変更されたドメイン フェデレーション設定] |
Office 365 のドメイン フェデレーション設定の変更に関するアラート |
|
OFFICE 365 [ユーザーが資格情報をサービス プリンシパルに追加] |
サービス プリンシパルに追加された証明書またはパスワードの追加に関するアラート |
|
Office 365 ANALYTICS [異常なログオン] |
ヒューリスティックに基づく疑わしいログイン アクティビティのアラート |
|
WINDOWS METHODOLOGY [ADFS ダンプ] |
Active Directory 内の AD FS 分散キー マネージャー (DKM) コンテナーに対するアクティビティ アクセス要求に関するアラート |
|
Office 365 [メールボックス フォルダーのアクセス許可の変更 – 受信トレイとインフォメーション ストアのトップ] |
受信トレイまたはインフォメーション ストアのトップに対するメールボックス フォルダのアクセス許可の疑わしい変更について警告します。 |
Comments