メインコンテンツへスキップ
インテリジェンスダイジェスト

Microsoft Azure環境がMERCURY攻撃の標的に

破壊的なAPT (Advanced Persistent Threat) グループがクラウド環境に軸足を移す

ロッドマン・ラメザニアン - グローバルクラウド脅威リード

2023年5月25日 7分で読めます

最近の業界調査によると、MERCURY APTグループ (別名 MuddyWater, Static Kitten) – イラン情報治安省 (MOIS) の利害関係者と関連があると広く考えられている – によって実行されている複数のキャンペーンとツールが、Microsoft Azureクラウド環境で損害を与える攻撃を開始していることが観測されています。

Microsoftが実施した調査によると、国家支援型攻撃者が脆弱で安全でないオンサイトリソースだけでなくクラウド環境にもアクセスし、標的のインフラストラクチャに広範な損害を与えたことが示されています。ローカルActive Directory (AD) とAzure Active Directory (AAD) を組み合わせたハイブリッドWindowsドメイン環境を実行している標的組織では、Azure Active Directory Connectエージェントを操作されることで、オンラインAzureインフラストラクチャへの侵入を許し、その後、被害者のAzure環境を破壊されました。

Microsoft Azureの攻撃シナリオのイメージ図

これは、Azure仮想マシンインスタンスの消去、サーバーファームやワークロード、仮想ネットワーク、ストレージアカウントなどに及びました。

彼らの活動を通じて、脅威アクターはオンプレミス環境とクラウド環境の両方を積極的に標的としてきました。このキャンペーンについて現在知られている限りでは、彼らの主な目的は妨害と破壊であったことが判明しています。

興味深いことに、この破壊的で破壊的な行動は、イランのハッカーによる2012年のサウジアラムコ攻撃への具体的な言及、およびシステムを上書きしたり、使用不能または回復不能にしたりする(組織が機能するバックアップを持っていない限り)DDoS攻撃とWiperマルウェアの継続的な使用など、一般的に見られるイランの国家支援型攻撃者の戦術、技術、手順(TTP)と一致しています。

特に興味深いのは、APTグループがMicrosoftクラウドエコシステムに大きく軸足を移している点です。彼らの過去の攻撃は主に脆弱なオンプレミスExchangeサービスやFortinetセキュリティアプライアンス、あるいは最近ではDropboxやOneHubのようなオンラインサービスを標的としていました。

なぜこれらのインシデントが発生するのでしょうか?

今日の高度なハッカーが、その目的を達成するためにクラウド環境にますます焦点を当てていることは、もはや驚くことではありません。この国家支援型アクターの事例に地政学が関与しているかどうかにかかわらず、標的環境への主要な初期アクセスベクターとして、リモートアクセスツールの悪用が引き続き見られます。

ほとんどの組織がクラウドへの移行を進める中で、ハイブリッドインフラストラクチャは、クラウドのみのエコシステムでは満たせない、あるいはまだクラウド化の準備ができていない要件に対して柔軟性をもたらします。オンプレミスとクラウドネイティブのリソースを維持すること (おそらく同期されたハイブリッド方式で) は、より効率的な方法が成熟するまでの間、これらの企業が両方の利点を享受することを可能にします。

この考え方が一般的になるにつれて、脅威アクターは、より伝統的で確立されたアクセスベクター(例えばリモートデスクトップ接続)でその力を発揮し、最終的にターゲットのクラウドインフラストラクチャへのピボットポイントを得ることを喜んでいます。その結果、この全く新しいクラウドドメインは、窃盗、ランサムウェアによる金銭的利益、業務妨害、あるいはここで見られるような完全な破壊に至るまで、広範な機会をもたらします。

何ができるでしょうか?

このような脅威は、標的の環境への足がかりを提供する脆弱なサービスや公開されたサービスを悪用します。その時点から、悪意のあるアクターが過剰な特権や権限をどこでどのように悪用して攻撃を実行するかの問題となります。少なくとも、全体の攻撃対象領域を減らすことは、脅威アクターの目の前にある「簡単に手に入る」誘惑を阻止する上で大いに役立ちます。これは、もはや不要な、または古い境界ツールによって公開されるべきではないリモートアクセスサービス、プライベートアプリケーション、またはプロトコルを無効にするか、少なくともセグメント化することを意味します。Zero Trust Network Access (ZTNA)のような機能は、組織がソフトウェア定義の境界を作成し、企業ネットワークを複数のマイクロセグメントに分割することを可能にし、脅威の水平移動を防ぎ、侵害が発生した場合の攻撃対象領域を削減します。

継続的なアクセス評価と検証も非常に効果的な緩和策です。なぜなら、悪用が試みられた場合、各アクセスリクエストに対して個別のケースバイケースで特定し、防止できるからです。ユーザーID、デバイスID、ポスチャ、その他の状況的要因を評価することで、ZTNAは、ログインに成功したユーザーに対して、基盤となるネットワーク全体ではなく、特定のアプリケーションへの「最小権限」アクセスを許可します。

Skyhigh Security 「セキュリティ構成監査」のスクリーンショット

Microsoft Azure環境内の設定が破壊工作のために改ざんされていること、および特権的なMicrosoft Azure管理者アカウントの悪用も確認されているため、Posture Managementのような機能は、異常と見なされる活動や企業標準に反する変更を検出し、防止するのに役立ちます。

Skyhigh Securityは、アクティビティ監視およびセキュリティ構成監査機能をMicrosoft Azureインフラストラクチャに拡張することで、これを支援します。Azureインフラストラクチャに対する内部および外部の脅威を検出するために、Skyhigh Securityは、Microsoft Azureにおけるすべてのユーザーアクティビティの完全な記録を複数のヒューリスティックにわたって捕捉し、脅威を検出し、自動的にリスク軽減措置を講じ、フォレンジック調査をサポートします。脅威が解決されると、Skyhighはこのデータを自動的に行動モデルに組み込み、検出精度を向上させます。

Skyhighは、インサイダー脅威を示す活動を特定するために、各ユーザーおよびグループのしきい値を動的かつ継続的に更新します。組み込みのPrivileged User Analyticsは、非アクティブな管理者アカウント、過剰な権限、および不当な権限昇格とユーザープロビジョニングによるリスクを特定します。

Skyhigh Security をご利用ですか?

ロッドマン・ラメザニアン

著者について

ロッドマン・ラメザニアン

グローバルクラウド脅威リード

サイバーセキュリティ業界で11年以上の豊富な経験を持つ Rodman Ramezanian は、Skyhigh Security のエンタープライズクラウドセキュリティアドバイザーであり、技術アドバイザリー、イネーブルメント、ソリューション設計、アーキテクチャを担当しています。この役割において、Rodman は主にオーストラリア連邦政府、防衛機関、および企業組織に焦点を当てています。

ロッドマンは、敵対的脅威インテリジェンス、サイバー犯罪、データ保護、クラウドセキュリティの分野を専門としています。彼はオーストラリア信号局 (ASD) が認定するIRAP評価者であり、現在、CISSP、CCSP、CISA、CDPSE、Microsoft Azure、およびMITRE ATT&CK CTIの認定資格を保有しています。

率直に言って、ロッドマンは複雑な事柄を簡単な言葉で説明することに強い情熱を持っており、一般の人々や新しいセキュリティプロフェッショナルがサイバーセキュリティの「何を、なぜ、どのように」を理解するのを助けています。

攻撃のハイライト

  • MERCURYの脅威アクターは、脆弱でパッチが適用されていないインターネットに接続されたデバイスやWebアプリケーションを悪用し、最初に被害者の環境にアクセスします。
  • 悪用が成功した後、攻撃者はそれらのアセットにWebシェルをデプロイし、リモートでシステムコマンドを実行できるようにします。
  • ローカルユーザーアカウントが作成され、管理者モードへの権限昇格が可能になります。その目的は、最終的にターゲットのドメインコントローラーに到達し、さらなる伝播を図ることです。
  • ターゲットとなる組織が、ローカルADとAzure ADサービスを組み合わせたハイブリッドWindowsドメイン環境を実行している場合、脅威アクターは、Azure AD Connectエージェントによって作成された特権アカウントを悪用します。このエージェントは、ローカルADとAzure AD環境間の「橋渡し」として機能し、両者を同期させ、共有IDのパスワード同期、オブジェクト同期などの追加機能も備えています。
  • 攻撃者が侵害されたアカウントを介してMicrosoft Azure環境に正常にサインインすると、アカウントの権限セットとロールの特権が改ざんされ、さらなる行動の準備が整えられます。
  • Microsoft Azureアセットの破壊が開始されます。これには、Azureアカウント内のワークロード、VMイメージ、サーバー、ディスク、ストレージアカウント、その他さまざまなサービスインスタンスの削除が含まれます。