Microsoftの報告によると、この攻撃では、脅威アクターは特定のクラウドテナントユーザーを侵害することから攻撃を開始します。これらのユーザーは、環境内でアプリケーションを作成し、管理者の同意を与えるための十分な権限を持っている必要があるためです。これらのユーザーは、クラウドサービスへのログインに多要素認証を使用していませんでした。
これらのクラウド環境へのアクセスを成功させるために、攻撃者はクレデンシャルスタッフィング攻撃を展開しています。これは、他のサービスやアプリケーションから取得した有効な認証情報を再利用しようとするものです。このような攻撃は、個人が複数の異なるオンラインサービスやウェブサイトで同じログイン名とパスワードを使用している場合に有効です。例えば、メールアカウントから盗んだ認証情報を入手した攻撃者は、それをソーシャルメディアサービスへのアクセスに利用するかもしれません。
参照:モバイルデバイスのセキュリティポリシー(TechRepublic Premium)
このケースでは、攻撃者は資格情報を利用してクラウドテナントにアクセスしました。単一のIPアドレスがクレデンシャルスタッフィング攻撃を実行し、Azure Active Directory PowerShellアプリケーションに認証を要求しました。Microsoftの研究者は、攻撃者が侵害した資格情報のダンプを利用したと考えています。
悪意のあるアプリケーションはどのように動作しますか?
脅威の攻撃者は、有効な特権ユーザーの資格情報を入手すると、PowerShell スクリプトを使用して、侵害されたすべてのテナントの Azure Active Directory でアクションを実行しました。
最初のアクションは、特定の命名規則(ドメイン名の後にアンダースコア文字、そしてランダムなアルファベット3文字)を使用して、新しいシングルテナントアプリケーションを登録することでした。次に、Exchange Online PowerShellモジュールのアプリ専用認証用に、従来のアクセス許可であるExchange.ManageAsAppを追加しました。
管理者の同意も付与されました。これにより、以前に登録されたアプリケーションには、グローバル管理者権限とExchange Online管理者権限の両方が付与されました。
最後のステップは、アプリケーションの認証情報を追加することでした。これにより、攻撃者はOAuthアプリケーションに独自の認証情報を追加できるようになります。
これらの手順がすべて完了すると、侵害された管理者アカウントのパスワードが変更された場合でも、攻撃者は悪意のあるアプリケーションに簡単にアクセスできるようになります。
参照: 2FA が失敗する理由と、それに対して何をすべきか (TechRepublic)
なぜアプリケーションを導入したのでしょうか?
悪意のあるアプリケーションを展開した主な目的は、大量のスパムを送信することでした。この目的を達成するために、脅威アクターは権限を持つ悪意のあるアプリケーションを介してExchange Onlineの設定を変更し、Exchange Online PowerShellモジュールの認証を可能にしました。
攻撃者は新しいExchangeコネクタを作成しました。これは、Microsoft 365またはOffice 365を使用する組織間のメールフローをカスタマイズするための指示です。この新しい受信コネクタは、今回も特定の命名規則に従って命名され、今回は「Ran_」という文字列に続く5文字のアルファベットが使用されました。このコネクタの目的は、攻撃者のインフラストラクチャ内の特定のIPアドレスからのメールが、侵害されたExchange Onlineサービスを経由できるようにすることでした。
脅威アクターは、Test01からTest012までと名付けられた12個の新しいトランスポートルールも作成しました。これらのルールの目的は、流入するすべてのメールから特定のヘッダーを削除することでした。
- X-MS-Exchange-外部オリジナルインターネット送信者
- X-MS-Exchange-SkipListedInternetSender
- 受信SPF
- 受け取った
- ARC認証結果
- ARCメッセージ署名
- DKIM署名
- ARCシール
- X-MS-Exchange-SenderADCheck
- X-MS-Exchange-認証結果
- 認証結果
- X-MS-Exchange-AntiSpam-MessageData-ChunkCount
これらのヘッダーを削除することで、攻撃者はセキュリティ製品による検出やメールプロバイダーによるメールのブロックを回避でき、攻撃の成功率が高まりました。
コネクタとトランスポート ルールが設定されると、攻撃者は大量のスパム メールを送信できるようになります。
脅威アクターはどの程度経験豊富でしたか?
研究者らは、「この攻撃の背後にいる攻撃者は、長年にわたり積極的にスパムメールキャンペーンを展開してきた」と述べています。マイクロソフトは、この調査に基づき、同じ攻撃者が不正なIPアドレスからメールサーバーに接続したり、正規のクラウドベースの大量メール送信インフラからスパムを送信したりすることで、短期間で大量のスパムメールを送信していたことを突き止めました。
Microsoftの研究者によると、脅威アクターはスパム攻撃の後、悪意のあるコネクタと関連するトランスポートルールを削除していたようです。その後、アクターは最初のスパム攻撃から数か月後に、新たなスパム攻撃のためにそれを再作成していました。
Microsoftによると、脅威アクターはMicrosoft社外のクラウドベースの送信メールインフラ、主にAmazon SESとMail Chimpからスパムキャンペーンを開始した。これらのプラットフォームは、通常は正当なマーケティング目的で大量のメール送信を可能にする。このような手口は、経験豊富なスパム送信者しか考えられない。
脅威アクターはスパムで何を送信しましたか?
このキャンペーンによって送信されたスパムには、スパムとして検出されるのを避けるために、電子メール本文に 2 つの目に見える画像が含まれていました。また、電子メール メッセージの HTML 本文内に動的かつランダムなコンテンツが挿入されていました。これは、この脅威の攻撃者がよく使用する手法です。
これらの画像は、賞品が当たると謳ってユーザーをリンクをクリックするよう誘導します。クリックすると、攻撃者が運営するウェブサイトにリダイレクトされ、アンケートへの回答と賞品の送料を支払うためのクレジットカード情報の入力を求められます。
ウェブページの一番下にある小さなテキストには、ユーザーが配送料を支払っているのではなく、賞品が当たる抽選に参加するためにいくつかの有料サブスクリプション サービスに料金を支払っていることが示されています。
この脅威から組織を守る方法
この攻撃は、初期のクラウドテナントがMFAで保護されていれば失敗していたでしょう。インターネットに接続するサービスやウェブサイトには、常にMFAを導入することを強くお勧めします。
条件付きアクセス ポリシーを設定して、サインイン時にデバイスのコンプライアンスまたは信頼できる IP アドレスの要件を有効にすることもできます。
すべてのアクセスを注意深く監視することで、このような侵害を検出するのに役立つ可能性があります。通常とは異なるIPアドレスからサービスに接続している場合は、疑わしいものとしてフラグを付け、アラートを発する必要があります。
Microsoft では、MFA、特権アカウントの保護などの事前構成されたセキュリティ設定を提供することで組織の ID プラットフォームを保護するのに役立つため、Azure AD でセキュリティのデフォルトを有効にすることも推奨しています。
開示:私はトレンドマイクロに勤務していますが、この記事で述べられている意見は私自身のものです。
