出典:Igor Stevanovic(Alamy Stock Photo経由)
攻撃者は、商用の仮想プライベートサーバー(VPS)ツールを活用して、攻撃インフラを迅速かつ静かに構築しています。
セキュリティベンダーのDarktraceは本日、「複数の顧客環境にわたる協調的なSaaSアカウント侵害」に関する調査結果を発表しました。これは、脅威アクターがVPS関連インフラを悪用したものでした。VPSとは、複数のウェブサイトをホストするために1台のコンピュータ上にインストールされた仮想サーバーであり、HyonixやHost Universalなど複数のプロバイダーによって提供されています。
調査ブログ記事の著者でありDarktraceのサイバーアナリストであるRajendra Rushanth氏によれば、脅威アクターはこれらを悪用する理由は、VPSが低コストで迅速にセットアップでき、オープンソースインテリジェンスの痕跡が最小限で済むためです。
さらに、「新しい手法というわけではありませんが、VPSの悪用はSaaSを標的としたキャンペーンで増加しており、攻撃者がローカルのトラフィックを模倣してジオロケーションベースの防御を回避したり、クリーンで新規に用意されたインフラでIPレピュテーションチェックを回避したり、正当な行動に紛れ込むことを可能にしています」とRushanth氏は述べています。
Hyonix VPSの悪用
Darktraceは、Hyonix VPSの悪用に関与する2つの攻撃を取り上げました。これらの攻撃は、5月にDarktraceの顧客で発生した一連の大規模なインシデントの一部です。調査チームは、3月からHyonixの悪用に関するアラートが急増していることを観測しました。「アラートには、ブルートフォース攻撃の試み、異常なログイン、フィッシングキャンペーン関連の受信トレイルール作成が含まれていました」とDarktraceのブログ記事は述べています。
顧客に対する2つの攻撃が際立っていました。Rushanth氏によると、いずれのケースでもDarktraceの「Autonomous Response」機能は有効化されておらず、その結果、攻撃者は侵害をエスカレートさせることができました。
1つ目の攻撃は5月19日に発生し、DarktraceはHyonixおよびHost UniversalというVPSプロバイダーに関連する珍しいIPアドレスから、2台の内部デバイスがログインを試みているのを観測しました。これらのログインは「遠隔地からの正規ユーザーの活動から数分以内に発生しており、不可能な移動を示唆し、セッションハイジャックの可能性を強めています」。そしてログインが成功すると、脅威アクターは「請求書ドキュメント」に言及したメールを削除しようとしました。これは、フィッシングメールを削除しようとしていたことを示唆しています。
「直接的な観測はありませんでしたが、このケースでの初期アクセスは、同様のフィッシングまたはアカウント乗っ取り手法によって達成された可能性が高い」とブログ記事には記載されています。
2つ目の攻撃では、DarktraceはHyonix、Mevspace、HivelocityというVPSプロバイダーに関連するIPアドレスを検知しました。複数のユーザーが珍しいエンドポイントからログインし、トークンクレームを通じて多要素認証に成功したことから、Darktraceはセッションハイジャックが行われたと疑いました。
これらの攻撃者が初期アクセスを得た後、新たに難読化されたメールルールを作成しているのが確認されました。「新たに作成された受信トレイルールの1つは、顧客組織のVIPが共有したドキュメントに言及する件名のメールを対象としていました。これらのメールは自動的に削除され、正規ユーザーから悪意のあるメールボックス活動を隠そうとした試みが示唆されます」とRushanth氏は述べています。
攻撃者の行動や、あるアカウントで発信スパムが確認されたことから、攻撃者がスパム配信を狙っていた可能性があると研究者らは見ています。
ディフェンダーへの教訓
DarktraceのセキュリティおよびAI戦略担当副社長であり、フィールドCISOでもあるNathaniel Jones氏は、Dark Readingに対し、これらの攻撃が際立っている理由について「脅威アクターが安価で匿名性の高いVPSホスティングサービスを活用し、攻撃インフラを迅速に構築して、正規ユーザーがログインしたままのアクティブなメールセッションを乗っ取っていることを示している」と述べています。
「攻撃者の行動には、受信トレイルールの作成、メールの削除、ログインの持続性の維持などが含まれており、検知されずにとどまりつつ、データの持ち出しやスパム配信の準備をしている意図がうかがえます」とJones氏は述べています。「インフラ展開のスピードがチームの連携を高め、追跡を著しく困難にしています。」
調査ブログ記事でRushanth氏は、攻撃者がVPSインフラを悪用し、正規ユーザーの行動を模倣し続ける中で、防御側も同様の対応が必要だと述べています。
「組織は、行動ベースの検知および対応戦略を採用すべきです」とRushanth氏は記しています。「不可能な移動、異常なログイン元、メールボックスルールの変更などの指標を積極的に監視し、自律的なアクションで迅速に対応することが、進化する脅威に先んじるために不可欠です。」