Last updated on 2024年2月24日
概要
サイバーセキュリティ・インフラセキュリティ庁(CISA)とマルチステート情報共有・分析センター(MS-ISAC)は、ホストとユーザー情報(メタデータを含む)の文書がダークウェブのブローカーサイトに掲載された後、州政府組織のネットワーク環境に対するインシデント対応評価を実施しました。分析により、特定されていない脅威アクターが、脅威アクターによく利用される技術である、元従業員のアカウントを通じてネットワーク管理者の資格情報を侵害し、内部の仮想プライベートネットワーク(VPN)アクセスポイントに正常に認証し、被害者のオンプレミス環境をさらにナビゲートし、ドメインコントローラーに対してさまざまな軽量ディレクトリアクセスプロトコル(LDAP)クエリを実行したことを確認しました。分析はまた、被害者のAzure環境にも焦点を当てましたが、この環境は機密システムとデータをホストしており、侵害されたオンプレミス環境と同様です。分析により、脅威アクターがオンプレミス環境からAzure環境に横断的に移動して組織をさらに侵害した兆候はないことが判明しました。
CISAとMS-ISACは、このサイバーセキュリティアドバイザリ(CSA)を発表し、脅威アクターによって使用された戦術、技術、および手順(TTP)と、不必要なアカウントおよび特権アカウントの同様の悪用に対する保護方法について、ネットワーク防御者に情報を提供します。
技術的詳細
注記: このアドバイザリは、MITRE ATT&CK for Enterpriseフレームワーク、バージョン14を使用しています。脅威アクターの活動をMITRE ATT&CK®の戦術と技術にマッピングした表については、MITRE ATT&CK戦術と技術セクションを参照してください。悪意あるサイバー活動をMITRE ATT&CKフレームワークにマッピングする支援については、CISAとMITRE ATT&CKのBest Practices for MITRE ATT&CK MappingおよびCISAのDecider Toolを参照してください。
脅威アクターの活動
ログは、脅威アクターが最初に未知の仮想マシン(VM)から被害者のオンプレミス環境に内部VPN範囲内のインターネットプロトコル(IP)アドレスを介して接続したことを明らかにしました。CISAとMS-ISACは、脅威アクターが正当なトラフィックと混同して検出を回避する意図で、被害者のVPNを介してVMに接続したと評価しています。
初期アクセス:侵害されたドメインアカウント
USER1:脅威アクターは、管理者権限を持つ元従業員の侵害されたアカウント(USER1)を介して初期アクセスを獲得しました。このアカウントは、従業員の退職後すぐに無効にされませんでした。
USER2:脅威アクターは、USER1が管理する仮想化されたSharePointサーバーからUSER2アカウントの資格情報を取得した可能性があります。このサーバーには、USER2の管理者資格情報がローカルに保存されていました。
ダークウェブへの投稿の通知を受けた後、被害者組織はUSER1アカウントを直ちに無効にし、元従業員に関連する2つ
の仮想化サーバーをオフラインにしました。被害者はまた、USER2アカウントのパスワードを変更し、管理者権限を削除しました。これらの管理者アカウントには多要素認証(MFA)が有効になっていませんでした。
LDAPクエリ
VMからの接続を通じて、脅威アクターはADのLDAPクエリを実行しました。これは、出力の形式に基づいて、オープンソースツールAdFind.exeを使用したと考えられます。CISAとMS-ISACは、脅威アクターがユーザー、ホスト、および信頼関係情報を収集するためにLDAPクエリを実行したと評価しています。また、LDAPクエリによって生成されたテキストファイルが、脅威アクターがダークウェブのブローカーサイトで販売したものであると考えられます:ad_users.txt、ad_computers.txt、およびtrustdmp.txt。
対策
このインシデントへの対応として、被害者組織はUSER2の管理者権限を削除しました。さらに、被害者組織は不要な管理者アカウントを無効にし、すべての管理者アカウントにMFAを有効にしました。同様の侵害を防ぐために、CISAとMS-ISACは以下を推奨します:
- 現在の管理者アカウントを確認して、必要性を判断し、ネットワーク管理に不可欠な管理者アカウントのみを維持します。
- 複数の管理者アカウントの使用を制限します。
- オンプレミスとAzure環境用に別々の管理者アカウントを作成して、アクセスをセグメント化します。
- 最小権限の原則を実装して、脅威アクターが重要なネットワークリソースにアクセスする能力を減少させます。管理者アカウントに対して、必要なタスクを完了するために必要最小限の権限を限定時間で昇格させるための、ちょうど時間とちょうど十分なアクセスを有効にします。
- フィッシングに強い多要素認証(MFA)を使用します(例:セキュリティトークン)。リモートアクセスおよび機密データリポジトリへのアクセスに対して、フィッシングに強いMFAをできるだけ多くのサービスに実装します。特に、WebメールおよびVPNに対してMFAを使用します。
リソース
参照
[1] CISA Analysis: Fiscal Year 2022 Risk and Vulnerability Assessments
免責事項
このレポートの情報は、「現状のまま」情報提供のみを目的として提供されています。CISAとMS-ISACは、この文書内でリンクされている任意の商業エンティティ、製品、会社、またはサービスを含む、いかなる商業エンティティ、製品、サービスも推奨しません。サービスマーク、商標、製造業者、またはその他の方法で特定の商業エンティティ、製品、プロセス、またはサービスに言及することは、CISAまたはMS-ISACによる承認、推奨、または好意の表明を構成または意味するものではありません。
バージョン履歴
2024年2月15日: 初版。
引用元:https://www.cisa.gov/news-events/cybersecurity-advisories/aa24-046a