脅威研究者らは、マルウェアを一切展開することなく従来のセキュリティ境界を突破する、新たなデータ恐喝グループ「Helix」を発見しました。
BlackFileやShinyHuntersといった著名な恐喝オペレーションの残党から派生したHelixは、アイデンティティベースの攻撃に特化しています。
人間の信頼を悪用し、正規の認証フローを不正利用することで、このグループは企業のSharePoint環境から機密データを密かに窃取します。
攻撃の連鎖は、標的を絞った音声フィッシング、いわゆるビッシングから始まります。
Helixのオペレーターは標的組織に対して入念な偵察を行い、これにより電話で直属の上司になりすまし、注目度の高い従業員に接触することが可能になります。
電話口で、攻撃者は被害者を巧みに誘導し、ブラウザにMicrosoftのデバイスコードを入力させます。
この巧妙なソーシャルエンジニアリング手法により、攻撃者は被害者のパスワードを一切要求することなく、デバイスコードフローを通じて有効なセッショントークンを取得できます。
窃取したセッショントークンを手にした攻撃者は、それを再生して管理外のデバイスから環境にアクセスします。
「不可能な移動(impossible travel)」のセキュリティアラートを回避するため、Helixは被害者の実際の所在地に地理的に一致させた住宅用プロキシを使用します。
初期アクセス獲得から数分以内に、オペレーターは侵害したアカウントに対して新たな多要素認証(MFA)アプリを静かに登録します。
この正規のMFA登録により、攻撃者はネットワーク内でほぼ気づかれることなく持続的なアクセスを確保します。
足場を固めた後、脅威アクターは数時間から1週間以上に及ぶ潜伏フェーズに入ります。彼らはSharePointサイトやクラウドストレージを対話的に閲覧し、環境の価値を見極めます。
最終段階では、Helixは高度に自動化された収集作業に移行します。攻撃者はPythonベースのツールを使用し、ワイルドカード検索を実行してアクセス可能なすべてのSharePointファイルを一覧化した後、外部サーバーへの大規模な一括ダウンロードを実行します。
Helixは常に正規のセッションと正当なアイデンティティプロトコルを通じて活動するため、従来のエンドポイントセキュリティソリューションでは侵入を見逃すことが少なくありません。
攻撃者がMFAを突破しセッションを窃取した後、インシデント対応担当者がデータ流出開始前に行動できる猶予は非常に短くなります。
セキュリティチームは迅速に行動し、アクティブなセッションを終了させ、クラウドとオンプレミス環境の両方で侵害されたアカウントを同時に無効化し、パスワードの完全なリセットを強制する必要がある、とReliaQuestは述べています。
注記: IPアドレスおよびドメインは、誤って名前解決されたりハイパーリンク化されたりするのを防ぐため、意図的にディフェング(無害化、例: [.])処理を施しています。再有効化(re-fang)は、MISP、VirusTotal、またはSIEMなどの管理された脅威インテリジェンスプラットフォーム内でのみ行ってください。
翻訳元: https://cyberpress.org/device-code-mfa-persistence/