- 研究者は攻撃者がOAuthアプリを武器化していることを観測
- 攻撃者はパスワード変更やMFAを行っても持続的なアクセスを獲得
- これは単なる概念実証ではなく、実際に観測されている
Proofpointの研究者は、脅威アクターがOAuthアプリケーションを武器化し、侵害された環境内で持続的なアクセスを得る手法を発見しました。これにより、ハッカーはMFAやパスワードリセットが実施された後でもアクセスを維持できます。
この攻撃は非常に破壊的な可能性があり、攻撃者がクラウドアカウントにアクセスできれば、さらなる侵入の足がかりとなります。このアカウントアクセスを利用して、カスタム権限を持つ内部アプリケーションを作成・認可し、ファイルや通信へのアクセス、セキュリティの回避が可能となります。
サイバー犯罪者は近年、クラウドアカウント乗っ取り(ATO)の手法をますます利用しています。これにより、アカウントの乗っ取りや情報の持ち出し、さらなる攻撃の足がかりとして利用できます。頻度も深刻度も増加しており、戦略も急速に進化しています。
持続的なアクセス
研究者たちは、この攻撃が実際にどのように行われるかを示すための概念実証を開発し、侵害されたクラウド環境内で悪意のある内部アプリケーションを自動作成するツールを構築しました。
実際の事例も発見されており、専門家が脅威インテリジェンスに基づき「Adversary-in-the-middle」型のソーシャルエンジニアリング攻撃と関連する可能性が高い成功したログイン試行を検知しました。
「約4日後、ユーザーのパスワードが変更され、その後ナイジェリアの住宅用IPアドレスからのログイン失敗が観測されました。これは脅威アクターの出所を示唆しています」と研究者は説明しています。
「しかし、アプリケーションは依然としてアクティブなままでした。このケーススタディは、私たちのブログで議論した攻撃パターンの具体例であり、これらの脅威が単なる理論上のものではなく、現実に悪用されているリスクであることを示しています。」
このような場合、シークレット認証情報(最大2年間有効)が失効する前にアクセスを取り消す唯一の方法は、手動で権限を削除することです。そのため、常に権限を定期的に見直し、アプリケーションを継続的に監視するようにしてください。
