イランの脅威アクターは、顧客のネットワークにアクセスする方法として、IT サービス企業に対する攻撃を増加させています。この活動は注目に値します。なぜなら、サード パーティを標的にすることは、サプライ チェーンにおける信頼とアクセスを利用して、より機密性の高い組織を悪用する可能性があるためです。マイクロソフトは、ダウンストリームの顧客ネットワークに属するサインイン資格情報を盗み、さらなる攻撃を可能にすることを目的とした攻撃で、IT サービス セクターを標的とする複数のイランの脅威アクターを観察しました。 Microsoft Threat Intelligence Center (MSTIC) と Digital Security Unit (DSU) は、これがイラン政権に関心のある組織を侵害するという、より広範なスパイ活動の目的の一部であると評価しています。
2021 年 7 月まで、Microsoft は、イランのアクターがインドの標的を攻撃した歴史を比較的ほとんど観察していませんでした。インドやその他の国々が主要な IT サービス ハブとして台頭するにつれて、より多くの国家関係者がサプライ チェーンに従い、国家の利益に一致する世界中のこれらのプロバイダーの公共および民間部門の顧客をターゲットにしています。
2020 年の 48 件の通知と比較して、今年現在までに Microsoft は 40 を超える IT 企業に 1,600 件以上の通知を発行しており、これは過去数年間に比べて大幅に増加しています (図 1)。過去 6 か月間で、いくつかのイランの脅威グループの IT セクターへの注目が特に急増しました。過去 6 か月間のイランの脅威活動に関連する通知は、過去 6 か月間の 2.5% に対して、通知の約 10 ~ 13% でした。前 (図 2)。標的のほとんどは、インドに拠点を置く IT サービス企業と、イスラエルとアラブ首長国連邦に拠点を置くいくつかの企業に焦点を当てています。最近の他のサプライ チェーン攻撃とは手法は異なりますが、これらの攻撃は、国家の攻撃者が目的を達成するための間接的なベクトルとしてサプライ チェーンをますます標的にしている別の例を表しています。
図 1: イランを拠点とする攻撃者の標的化に関連して IT サービスに送信された通知の数
図 2: イランを拠点とする活動に関連して IT サービス NSN に送信された四半期ごとの通知の割合
観察された国家の攻撃者の活動と同様に、Microsoft は、標的にされた、または侵害された顧客に直接通知し、アカウントを保護するために必要な情報を提供しました。 Microsoft は DEV-#### の指定を、脅威活動の未知の、新興の、または開発中のクラスターに付けられた一時的な名前として使用します。これにより、MSTIC は、発信元または身元について高い信頼性が得られるまで、一意の情報セットとして追跡できます。活動の背後にある俳優の。基準を満たすと、DEV は名前付きアクターに変換されます。
観察された活動
2021 年 7 月、MSTIC が DEV-0228 として追跡し、イランに拠点があると評価するグループが、ビジネス管理ソフトウェアを提供するイスラエルに拠点を置く単一の IT 企業に侵入しました。 MSTIC の評価に基づくと、DEV-0228 はその IT 企業へのアクセスを利用して攻撃を拡大し、イスラエルの防衛、エネルギー、法律部門の下流の顧客を侵害しました。 9 月には、別のイランのグループ DEV-0056 が、バーレーン政府のクライアントとの IT 統合に取り組んでいる、バーレーンを拠点とする IT 統合企業の電子メール アカウントを侵害しているのを発見しました。 DEV-0056 はまた、中東の部分的に政府が所有する組織のさまざまなアカウントを侵害しました。この組織は、イラン政権の関心の対象である防衛および輸送部門に情報通信技術を提供しています。 DEV-0056 は、少なくとも 10 月まで IT 統合組織で持続性を維持しました。
MSTIC は、8 月中旬以降、インドに拠点を置く IT 企業を標的とするこれらのグループやその他のイランのグループが大幅に増加していることを検出しました。 8 月中旬から 9 月下旬にかけて、イランのアクター全体で 1,788 件の国家通知 (NSN) をインドの企業顧客に発行しました。その約 80% は IT 企業向けであり、過去 3 年間に発行した 10 件の通知から指数関数的に増加しています。以前のイランの標的への対応。イランのサイバー攻撃者がインドを標的にすることはめったにありません。また、このような変化を引き起こす差し迫った地政学的問題がなかったことから、この標的がインド国外の子会社やクライアントへの間接的なアクセスを狙っていることが示唆されます。
資格情報の盗難が下流の侵害につながる
DEV-0228 は、7 月初旬にイスラエルに拠点を置く IT プロバイダーのオンプレミス ネットワークから資格情報をダンプしました。その後 2 か月間で、このグループは少なくとも 12 の他の組織に侵入しました。そのうちのいくつかは、侵害された IT 企業と強力な広報活動を行っていました。 MSTIC は、これらの被害者のうち少なくとも 4 人が、7 月と 8 月の攻撃で取得した資格情報と IT 企業からのアクセスを使用して侵害されたと評価しています。以下に 2 つの例を示します。
- DEV-0228 オペレーターは、PAExec (Windows Sysinternals ツール PsExec のカスタム バージョン) を介して IT プロバイダーが管理するアカウントを通じて、8 月にイスラエルの法律事務所のオンプレミス ネットワークを侵害しました。
Pa.exe ###.##.#.## -u {user name}{domain name} -p "********" -s cmd.exe
- DEV-0228 オペレーターは、被害者の Office 365 テナントで同じ IT プロバイダー用にプロビジョニングされた電子メール アカウントにサインインすることで、イスラエルの防衛会社にも侵入しました。攻撃者は、7 月に IT プロバイダーが最初に侵入した際に、これらの資格情報を取得した可能性があります。
持続性を確立するためのカスタムインプラント
DEV-0228 オペレータは、カスタム インプラントを使用して犠牲ホストに永続性を確立し、LSASS をダンプしました。このインプラントは、Dropbox をコマンド アンド コントロール (C2) チャネルとして使用するカスタム リモート アクセス トロイの木馬 (RAT) であり、 RuntimeBroker.exeまたはsvchost.exeに偽装されます。
オペレーターは、被害ホストのC:WindowsTAPIディレクトリにツールをステージングしました。
- C:WindowsTAPIlsa.exe
- C:WindowsTAPIpa.exe
- C:WindowsTAPIpc.exe (procdump)
- C:WindowsTAPIRar.exe
マイクロソフトは引き続き DEV-0228 および DEV-0056 の活動を監視し、お客様のために保護を実装します。当社のセキュリティ製品全体で実施されている現在の検出、高度な検出、および IOC の詳細を以下に示します。
侵害の痕跡 (IOC)
| タイプ | インジケータ |
| svchost.exe | 2a1044e9e6e87a032f80c6d9ea6ae61bbbb053c0a21b186ecb3b812b49eb03b7 |
| svchost.exe | 9ab7e99ed84f94a7b6409b87e56dc6e1143b05034a5e4455e8c555dbbcd0d2dd |
| lsa.exe | 43109fbe8b752f7a9076eaafa417d9ae5c6e827cd5374b866672263fdebd5ec3 |
| wdmsvc.exe | 18a072ccfab239e140d8f682e2874e8ff19d94311fc8bb9564043d3e0deda54b |
| Pa.exe (PAExec.exe) | ab50d8d707b97712178a92bbac74ccc2a5699eb41c17aa77f713ff3e568dcedb |
推奨防御
次のガイダンスは、脅威活動で説明されている手法を軽減できます。
- 多要素認証を有効にして、資格情報の侵害を軽減します。
- Office 365 ユーザーについては、 多要素認証のサポートを参照してください。
- コンシューマーおよび個人のメール アカウントについては、 2 段階認証の使用方法 を参照してください。
- Microsoft Authenticatorなどのパスワードレスソリューションを使用して、アカウントを保護します。
- 推奨されるExchange Online アクセス ポリシーを確認して適用します。
- 可能であれば、匿名化サービスからのすべての受信トラフィックをブロックします。
- この脅威に関連するアクティビティをブロックまたは監査するには、次の攻撃面の削減ルールを有効にします。
- Windows ローカル セキュリティ機関サブシステム (lsass.exe) からの資格情報の盗用をブロックする
検出
Microsoft 365 ディフェンダー
ウイルス対策
Microsoft Defender ウイルス対策は、脅威コンポーネントを次のマルウェアとして検出します。
- バックドア:MSIL/ShellClient.A
- バックドア:MSIL/ShellClient.A!dll
- トロイの木馬:MSIL/Mimikatz.BA!MTB
エンドポイントの検出と応答 (EDR)
セキュリティ センターの次のタイトルのアラートは、ネットワーク上での脅威の活動を示している可能性があります。
- DEV-0228 男優活動
- DEV-0056 男優活動
次のアラートは、この脅威に関連する脅威の活動を示している可能性があります。ただし、これらのアラートは無関係の脅威活動によってトリガーされる可能性がありますが、参照用にここにリストされています。
- リモート サービスへの不審な接続
- 指揮統制活動の可能性
- LSASS サービスへの不審なアクセス
- 機密クレデンシャル メモリの読み取り
図 3: 資格情報のダンプ アクティビティを示す Microsoft 365 Defender アラート
Microsoft 365 Defender は、関連するアラートを統合されたインシデントに関連付けて、観察されたアラートがこのアクティビティに関連しているかどうかを顧客が自信を持って判断できるようにします。 Microsoft 365 Defender ポータルを使用しているお客様は、このブログで説明されているアクティビティに関連する検出を含むインシデントを表示、調査、および対応することができます。
高度なハンティング クエリ
マイクロソフト センチネル
このブログ投稿に含まれる侵害の痕跡 (IoC) は、Microsoft Sentinel のお客様が以下に詳述するクエリを使用して検出目的で使用できます。
コマンドライン アクティビティ 2021 年 11 月
このハンティング クエリは、観察されたアクティビティに関連するプロセス コマンド ライン アクティビティを探します。クエリは、Microsoft Defender for Endpoint からの追加データを使用して、各結果に関連付けられたリスク スコアを生成します。リスクの高いイベントが発生したホストを最初に調査する必要があります。
FilePath/Hashes クエリ 2021 年 11 月
このハンティング クエリは、このブログで詳しく説明されているように、観察されたアクティビティに関連するファイル パス/ハッシュを探します。
これらのクエリに加えて、Advanced SIEM Information Model (ASIM) を使用して同じアクティビティを検索する同等のクエリがあります。
Microsoft 365 ディフェンダー
このブログで説明されているアクティビティに関連する悪意のあるアクティビティを見つけるために、顧客は Microsoft 365 Defender または Microsoft Defender for Endpoint で次のクエリを実行できます。
環境での PAExec の使用を特定する
環境内でPAExec.exeプロセスの実行を探します。 クエリを実行します。
DeviceProcessEvents
| where FileName =~ "paexec.exe" or ProcessVersionInfoOriginalFileName =~ "paexec.exe"
| where not(ProcessCommandLine has_any("program files", "-service"))
WindowsTapi ディレクトリに作成されたファイルを特定する
WindowsTapi ディレクトリに作成されたファイルを探します。 クエリを実行します。
DeviceFileEvents
| where FolderPath has @"C:WindowsTAPI"
疑わしい PowerShell コマンド
疑わしい PowerShell プロセスの実行を探します。 クエリを実行します。
DeviceProcessEvents
| where ProcessCommandLine has_any("/q /c color f7&", "Net.We$()bClient", "$b,15,$b.Length-15") or
(ProcessCommandLine has "FromBase64String" and ProcessCommandLine has_all("-nop", "iex", "(iex"))
参照: https://www.microsoft.com/en-us/security/blog/2021/11/18/iranian-targeting-of-it-sector-on-the-rise/
Comments