SolarWindsサプライチェーン攻撃を指揮したとされるロシアのサイバースパイ集団「Nobelium」は、2021年を通して新たな攻撃を続けており、一部のターゲットのアカウントにアクセスするため、2要素認証を突破する巧妙な手法を用いていることが判明しました。
被害の大半において侵害後の活動には、ロシアの関心事に関連するデータの盗用が含まれていました。一部の事例では、データの窃盗は、他の被害者の環境にアクセスするための新たなルートを構築するために行われたと考えられます。脅威グループは、被害者の環境への持続的なアクセスを維持し、検知を妨げ、帰属を混乱させるために、新たな技術や手法を導入し続けています。
以下の情報は、最初の侵入、足場の確立、データ収集、横方向への移動など、脅威の行為者が使用する戦術、技術、手順(TTP)の一部、脅威の行為者がインフラを提供する方法、および侵害の指標について説明しています。これらの情報を共有することで、組織の意識を高め、自衛策を強化することができます。
公開されたレポートに記載されているこの手法は、一部のオンラインアカウントのプッシュ通知機能を悪用したものです。
2FA(two-factor authentication:二要素認証)またはMFA(multi-factor authentication:多要素認証)のプッシュ通知は、通常SMSや電子メールでワンタイムコードを受け取るという手法で使用されるもので、スマートフォンに表示されるポップアップなどで通知されます。
ユーザーが有効な認証情報を使ってアカウントにログインすると、スマートフォンにプッシュ通知が表示され、アカウントにアクセスしようとしているデバイスの種類やIPアドレスなどの詳細が表示され、操作を許可するかどうかが尋ねられます。
2FAのプッシュ通知は広く採用されているわけではありませんが、攻撃者がこれを回避するためには被害者のスマートフォンに物理的にアクセスする必要があるため、2FAの方法としては電子メールやSMSよりも安全であると考えられています。
しかしMandiant社の研究者は、ユーザーの有効なログイン認証情報にアクセスし、アカウントへのログインを繰り返し試みて、最終的にターゲットが要求を受け入れるまで、被害者のデバイス上で2FAプッシュ通知を繰り返し起動させるという事件をいくつか調査したと発表しました。
これらの被害者が、たまたまプッシュ通知を受け取ったのか、バグかもしれないと思って受け取ったのか、あるいは単に迷惑だったのかは不明です。
Nobeliumは、被害者と同じ地域にあるIPプロキシを使用して、ターゲットが見知らぬIPからのログイン要求を監視するのを避けることが多いため、被害者の一部が攻撃者のアカウントへのログインを受け入れた理由になるかもしれません。
高度な技術を駆使して活動を続けるNobelium
Mandiant社の報告書によると、Nobeliumは「一流の運用セキュリティと高度な技術」を維持している高度な攻撃グループであり、SolarWinds社のハッキングが唯一の成功例であるとは言えないでしょう。
また、Mandiant社は、同グループの最新の戦術や活動についても紹介しています。
- 複数のクラウド事業者への侵入を行い、そこからそれぞれの顧客システムへとアクセスする
- CRYPTBOT infostealerを操作しブラックマーケットで入手したと思われるログイン認証情報の使用
- 2021年第1四半期以降、アプリケーションアクセス権を持つハッキングされたアカウントを使用して、機密メールデータを採取
- 内部のルーティング設定を確認するために、侵害されたネットワークから仮想マシンを抽出
- 「CEELOADER」という名前の新しいマルウェアを最初の足がかりとして使用し、後に新しいマルウェアバイナリをドロップ
- 被害者の環境への認証にユーザの居住地近くのIPアドレス帯を使用
- データ収集にAzureサーバーを使用し、セキュリティアラートの発生を回避するために被害者のネットワークと同じクラウドゾーンに地理的に配置
- ハッキングされたWordPressサイトを使用して、マルウェアを保存
- 偵察や攻撃を行う際、実際の場所を偽装するためにTor、VPN、VPSサーバーを多用
- 被害者の環境内のシステムログを削除
今年4月、ホワイトハウスは「Nobelium」とロシア対外情報庁(SVR)との関係を正式に発表しました。
Comments