APT29 は、Mandiant が少なくとも 2014 年から追跡しているロシアのスパイ グループであり、Foreign Intelligence Service (SVR) によって後援されている可能性があります。 Mandiant は引き続き、米国の利益、NATO およびパートナー国の利益を標的とした APT29 の活動を特定しています。複数の APT29 活動が公表されているにもかかわらず、それらは引き続き非常に多作です。 2022 年、APT29 は、NATO 諸国の外交政策に影響を与え、作成する責任を負う組織に焦点を当ててきました。これには、APT29 が何年も、場合によっては数か月前に侵入した被害者を再訪した複数の事例が含まれています。この粘り強さと積極性は、この情報に対する持続的な関心とロシア政府による厳しい任務を示しています。
Mandiant は、APT29 が優れた運用セキュリティと Microsoft 365 を標的とする高度な戦術を引き続き示していることを確認しています。最近の運用で APT29 が使用したいくつかの新しい TTP を強調しています。
ライセンスの無効化
Microsoft 365 では、さまざまなライセンス モデルを使用して、Microsoft 365 製品スイートのサービスへの個々のユーザーのアクセスを制御します。ライセンスは、Purview Audit 内のログの保存やアクセスされたメール アイテムのログなど、セキュリティとコンプライアンスの設定を指示することもできます。最も一般的なライセンスは E1、E3、および E5 です。ただし、M365 のライセンスを複雑にするその他のさまざまなライセンス プランと詳細なアドオンがあります。
攻撃者にとって最も厄介なログ記録機能の 1 つは、Purview 監査 (以前の Advanced Audit ) です。この機能は、E5 ライセンスと特定のアドオンで利用可能であり、アクセスされたメール アイテムの監査を有効にします。 Mail Items Accessed は、メール アイテムがアクセスされるたびに、ユーザー エージェント文字列、タイムスタンプ、IP アドレス、およびユーザーを記録します。監査では、Graph API、Outlook、ブラウザー、またはその他の方法を使用しているかどうかにかかわらず、あらゆる種類のメール アクセスが記録されます。これは、脅威アクターが特定のメールボックスにアクセスしているかどうかを判断したり、露出の範囲を判断したりするための重要なログ ソースです。さらに、攻撃者が Application Impersonation や Graph API などの手法を使用している場合、特定のメールボックスへのアクセスを効果的に判断する唯一の方法です。
Mandiant は、APT29 が侵害されたテナントの標的のアカウントで Purview 監査を無効にすることを確認しました。無効にすると、受信トレイをメール収集のターゲットにし始めます。現時点では、攻撃者が電子メール収集の対象としたアカウントとその時期を確認するために組織が利用できるログはありません。 APT29 の標的と TTP を考えると、Mandiant は、電子メールの収集が Purview 監査の無効化後の最も可能性の高い活動であると考えています。 ホワイト ペーパー「Microsoft 365 の修復と強化の戦略」を更新し、この手法の詳細と、検出と修復のアドバイスを追加しました。さらに、高度な監査が無効になっているユーザーについてレポートする新しいモジュールでAzure AD Investigatorを更新しました。
休眠アカウントの MFA テイクオーバー
多要素認証 (MFA) は、攻撃者によるアカウント乗っ取り攻撃を阻止するために組織が展開できる重要なツールです。ユーザーが知っていることと持っていることの両方を提供することをユーザーに要求することで、組織はアカウント侵害のリスクを大幅に減らすことができます。ただし、MFA 自体は特効薬ではありません。 Mandiantは以前、脅威アクターがプッシュベースの MFA を悪用して、最終的にプロンプトを受け入れて脅威アクターのアクセスを許可するまで、ユーザーに通知をスパム送信する方法について説明しました。 Microsoft は最近、これに対抗するために番号マッチングを使用した MFA プッシュ通知を展開することを発表しました。
Mandiant は、APT29 を含む攻撃者が Azure Active Directory やその他のプラットフォームで MFA の自己登録プロセスを利用するという別の傾向を観察し始めています。組織が最初に MFA を実施するとき、ほとんどのプラットフォームでは、ユーザーが次回のログイン時に最初の MFA デバイスを登録できるようになっています。これは、多くの場合、組織が MFA を展開するために選択するワークフローです。 Azure AD およびその他のプラットフォームの既定の構成では、MFA 登録プロセスに追加の強制はありません。つまり、ユーザー名とパスワードを知っている人は誰でも、最初に MFA を登録する限り、任意の場所と任意のデバイスからアカウントにアクセスして MFA を登録できます。
ある例では、APT29 は、未知の手段で取得したメールボックスのリストに対してパスワード推測攻撃を実行しました。攻撃者は、セットアップされたものの使用されたことのないアカウントのパスワードを推測することに成功しました。アカウントが休止状態だったため、Azure AD は APT29 に MFA への登録を促しました。登録されると、APT29 はそのアカウントを使用して、認証と MFA に Azure AD を使用していた組織の VPN インフラストラクチャにアクセスできました。 Mandiant は、組織がすべてのアクティブなアカウントに少なくとも 1 つの MFA デバイスが登録されていることを確認し、プラットフォーム ベンダーと協力して MFA 登録プロセスに追加の検証を追加することをお勧めします。 Microsoft Azure AD は最近、組織が MFA デバイス登録などの特定のアクションを制御できるようにする機能を展開しました。 条件付きアクセスを使用すると、組織は MFA デバイスの登録を、内部ネットワークや信頼できるデバイスなどの信頼できる場所のみに制限できます。組織は、MFA を登録するために MFA を要求することも選択できます。これが生み出す鶏が先か卵が先かという状況を回避するために、ヘルプ デスクの従業員は、従業員が初めて参加するとき、または MFA デバイスを紛失した場合に、従業員に一時アクセス パスを発行できます。このパスは、限られた時間、ログイン、MFA のバイパス、および新しい MFA デバイスの登録に使用できます。
運用上のセキュリティに焦点を当てる
APT29 は、優れた運用上のセキュリティと回避戦術を引き続き示しています。 Mandiant は、APT29 が Azure Virtual Machines に目を向けていることを確認しました。 APT29 が使用する仮想マシンは、被害組織外の Azure サブスクリプションに存在します。 Mandiant は、これらのサブスクリプションが侵害されたのか、APT29 によって購入されたのかを知りません。信頼できる Microsoft IP アドレスからラストマイル アクセスを取得すると、検出される可能性が低くなります。 Microsoft 365 自体は Azure で実行されているため、Azure AD サインインと統合監査ログには既に多くの Microsoft IP アドレスが含まれており、IP アドレスが悪意のある VM に属しているか、バックエンド M365 サービスに属しているかを迅速に判断するのは困難な場合があります。 Mandiant 自身の観察によると、Microsoft が所有する IP アドレスは、Microsoft の危険なサインインと危険なユーザー レポートによる検出のリスクを大幅に軽減するようにも見えます。
Mandiant は、APT29 が無害な管理アクションと悪意のあるアクションを混在させていることも確認しています。たとえば、最近の調査で、APT29 は Azure AD のグローバル管理者アカウントへのアクセス権を取得しました。このアカウントを使用して、 ApplicationImpersonation権限を持つサービス プリンシパルをバックドアし、テナント内の対象のメールボックスから電子メールの収集を開始しました。これを実現するために、APT29 は新しい証明書、つまりKey Credentialをサービス プリンシパルに追加しました。追加されると、APT29 は Azure AD に対してサービス プリンシパルとして認証し、そのロールを使用して電子メールを収集することができました。溶け込むために、APT29 は、バックドアされたサービス プリンシパルの表示名と一致する共通名 (CN) を持つ証明書を作成しました。これに加えて、サービス プリンシパルに新しいアプリケーション アドレス URL も追加しました。彼らが追加したアドレスは完全に無害であり、悪意のある活動を促進する必要はなく、ベンダーによって文書化されたアプリケーションの機能に関連していました。この行動は、APT29 がとる非常に高いレベルの準備と、彼らの行動を正当なものとして偽装しようとする程度を示しています。
見通し
APT29 は、その技術的なトレード クラフトと厳格な運用セキュリティへの献身の開発を続けています。 Mandiant は、APT29 が Microsoft 365 に斬新でステルスな方法でアクセスするための技術と戦術の開発に遅れをとらないことを期待しています。
参照: https://www.mandiant.com/resources/blog/apt29-continues-targeting-microsoft
Comments