最近の業界調査によると、イラン情報セキュリティ省(MOIS)の関係者とされるMERCURY APTグループ(別名MuddyWater、Static Kitten)が実行する複数のキャンペーンやツールが、Microsoft Azureクラウド環境において有害な攻撃を行うことが確認されています。
マイクロソフトの調査によると、国家レベルの攻撃者が、脆弱で安全でないオンサイトリソースやクラウド環境にアクセスし、ターゲットのインフラに甚大な被害を与えていることが判明しました。ローカルのActive Directory(AD)とAzure Active Directory(AAD)を組み合わせたハイブリッドWindowsドメイン環境を運用している標的組織は、Azure Active Directory Connectエージェントを操作され、オンラインのAzureインフラに侵入され、その後被害者のAzure環境を破壊されました。
その内容は、Azureの仮想マシンインスタンス、サーバーファームとワークロード、仮想ネットワーク、ストレージアカウントなどを一掃するものでした。
脅威者は、その活動を通じて、オンプレミス環境とクラウド環境の両方を積極的にターゲットにしてきました。このキャンペーンについて現在わかっていることは、彼らの主な目的は混乱と破壊であることです。
興味深いことに、この破壊的な行動は、イラン国家攻撃者の戦術、技術、手順(TTP)と一致している。具体的には、イラン人ハッカーによる2012年のサウジアラムコ攻撃や、DDoS攻撃やワイパーマルウェアの継続的な使用により、システムを上書きしたり、使用不能にしたり、回復不能にしたりする(組織でバックアップが機能している場合を除く)。
APTグループがマイクロソフトのクラウドエコシステムに強く傾倒していることも興味深い。過去の攻撃では、脆弱なオンプレミスのExchangeサービスやFortinetセキュリティアプライアンス、あるいは最近ではDropboxやOneHubなどのオンラインサービスに焦点を当てたものが多かった。
なぜこのような事件が起こるのでしょうか?
今日の高度なハッカーが、その目的を達成するためにクラウド環境にますます注目していることは、驚くことではありません。この国家的行為者のストーリーに地政学的な要素があるかどうかにかかわらず、我々は、リモートアクセスツールの悪用が、ターゲット環境への最初のアクセスベクトルとして重要であると考え続けています。
多くの企業がクラウドへの進化を続ける中、ハイブリッド・インフラは、クラウドオンリーのエコシステムでは満たせない要件や、まだクラウド化する準備ができていない要件に柔軟に対応することができます。オンプレミスとクラウドネイティブのリソースを(おそらく同期したハイブリッド方式で)維持することで、これらの企業は、より効率的な方法が成熟するまでは、両方の世界の長所を享受することができます。
このような考え方が一般的になるにつれ、脅威者は、より伝統的で確立されたアクセスベクター(例えば、リモートデスクトップ接続)で力を発揮し、最終的にターゲットのクラウドインフラへのピボットポイントで報われることを喜んでいる。その後、新しいクラウド領域は、窃盗、身代金による金銭的な利益、混乱、あるいはここに見られるような完全な破壊など、大きな機会をもたらします。
何ができるのか?
このような脅威は、脆弱なサービスや露出したサービスを餌に、標的の環境へ侵入することができます。そこから先は、悪意ある行為者が過剰な権限や特権を悪用して攻撃を行う場所と方法の問題になるだけです。少なくとも、全体的な攻撃対象領域を縮小することは、脅威行為者の前に立ちはだかる「低空飛行の果実」の誘惑を阻止する上で大きな効果を発揮します。つまり、リモートアクセスサービス、プライベートアプリケーション、プロトコルなど、もはや必要とされない、あるいは一般にアクセスされるべきではないものを、時代遅れの境界ツールで無効にするか、最低限、セグメント化することです。Zero Trust Network Access (ZTNA)のような機能により、組織はソフトウェア定義境界を作成し、企業ネットワークを複数のマイクロセグメントに分割して、脅威の横移動を防止し、侵入時の攻撃対象領域を縮小することができます。
継続的なアクセス評価と検証もまた、非常に効果的な緩和手法です。ZTNAは、ユーザーID、デバイスID、姿勢、およびその他の状況要因を評価した上で、ログインに成功したすべてのユーザーに対して、特定のアプリケーションへの「最小特権」アクセスを許可し、基礎となるネットワーク全体へのアクセスは許可しません。

Microsoft Azure環境内の設定が改ざんされ、破壊への道が開かれたり、Microsoft Azureの管理者特権アカウントが悪用されたりすることもあるため、Posture Managementのような機能は、異常または企業標準に反すると考えられる活動や変更を検出・防止するために役立ちます。
Skyhigh Securityは、アクティビティ監視とセキュリティ構成監査の機能をMicrosoft Azureインフラに拡張することで、これを支援します。Azureインフラに対する内部および外部の脅威を検知するために、Skyhigh Securityは複数のヒューリスティックな手法でMicrosoft Azureにおけるすべてのユーザーアクティビティの完全な記録を取得し、脅威を検知して自動的にリスクを軽減する行動をとり、フォレンジック調査をサポートします。脅威が解決されると、Skyhighは自動的にこのデータを行動モデルに組み込み、検出精度を向上させます。
Skyhighは、各ユーザーやグループの閾値を動的かつ継続的に更新し、内部脅威の兆候となる活動を特定します。内蔵の特権ユーザー分析では、非アクティブな管理者アカウント、過剰な権限、権限の不当なエスカレーション、ユーザーのプロビジョニングによるリスクを特定します。