国家支援の脅威アクターが、人気のオープンソース・レッドチーミングフレームワークであるROADtoolsを積極的に武器化し、多要素認証(MFA)を回避してMicrosoft Azureを乗っ取るクラウド環境への攻撃を行っています。
もともとはセキュリティ研究者がEntra ID(旧Azure Active Directory)の認証レイヤーを調査するために設計されたこのPythonベースのツールキットが、現在ではトークンを密かに窃取し、防御を回避し、持続的なアクセスを確立するための標的型攻撃に利用されています。
ROADtoolsは正規のMicrosoft APIと通信し、通常の管理トラフィックを模倣するため、悪意のある活動が標準的なクラウド操作に容易に紛れ込みます。
高度持続的脅威(APT)グループは、これらのユーティリティを自身の兵器に組み込み、窃取したセッショントークンを使って内部偵察を行い、セキュリティ制御を回避しています。
ROADtoolsは主に2つの高効率モジュールを通じて動作します。road reconモジュールは内部偵察とアカウント列挙を目的として設計されています。
Microsoft Graph APIにクエリを送ることで、攻撃者はユーザー、グループ、デバイス、サービスプリンシパルを迅速にマッピングし、テナント内の高価値ターゲットを特定することができます。
2つ目のモジュールであるroadtxは、トークンの取得と交換を担います。OAuth 2.0およびOpenID Connectのフローを操作し、不正なデバイスをEntra IDに直接登録します。
これにより、攻撃者は条件付きアクセスポリシーとMFAの両方を回避できます。窃取したプライマリ更新トークン(PRT)を注入することで、攻撃者は新しいアクセストークンの生成を自動化し、インタラクティブなログインプロンプトを発生させることなく、サイレントで持続的なプログラムアクセスを獲得します。
複数の国家支援ハッキンググループが、最近のキャンペーンでこれらの機能を実際に活用することに成功しています。
ROADtoolsへの防御が特に難しいのは、マルウェアや脆弱性の悪用に依存せず、ネイティブの認証機能を悪用するためです。
セキュリティチームは、異常検知、アイデンティティ態勢管理、厳格なトークンライフサイクル管理へと焦点を移す必要があると、Palo Alto Networksは述べています。
組織はクラウド環境を保護するために、以下の緩和手順を実施する必要があります。更新トークンを特定の信頼されたデバイスに紐付けるEntra IDトークン保護を有効にしてください。
条件付きアクセスポリシーを使用して、デバイスコードフローなどのリスクの高い認証方法を制限してください。
脅威ハンターは、このフレームワークに関連する特定の侵害の痕跡(IOC)や行動上の異常を積極的に探索する必要があります。
攻撃者はツールを使用するために認証が必要なため、防御側は通常の活動をベースライン化して逸脱を検出しなければなりません。
注意: IPアドレスおよびドメインは、誤った名前解決やハイパーリンクを防ぐために意図的に無害化されています(例:[.])。MISP、VirusTotal、またはSIEMなどの管理された脅威インテリジェンスプラットフォーム内でのみ再有効化してください。
翻訳元: https://cyberpress.org/attackers-abuse-roadtools-mfa/
