TokyoBlackHatNews

gbhackers.com 4分で読了

ITシステムを侵害せずに、攻撃者が従業員の給与振込先を変更

ある匿名の組織は最近、複数の従業員の給与が、ランサムウェア攻撃やデータ消去型マルウェア、クラウド侵害が原因で消えたのではなく、攻撃者が人々を説得して意のままに動かした結果、気付かれないまま消えていたことを突き止めました。

ファイアウォールを突破したりゼロデイを悪用したりする代わりに、脅威アクターが狙ったのは最も弱い部分――運用プロセスとヘルプデスクのワークフローでした。

攻撃は1本の電話から始まりました。正規の従業員になりすまし、攻撃者は給与、IT、HRの共有サービスなど、複数のヘルプデスクに連絡しました。

目的は単純でした。いかなるシステムにも直接侵入することなく、従業員アカウントの支配権を得ることです。

攻撃者はチャレンジレスポンスの質問や知識ベースの本人確認を悪用し、ヘルプデスク担当者にパスワードリセットと、多要素認証(MFA)デバイスの再登録を攻撃者に有利な形で実行させました。

これが完了すると、犯罪者は組織のIDシステムから見て、事実上その従業員に「なった」ことになります。

オープンソース情報は、これをさらに容易にしました。ソーシャルプラットフォームやプロフェッショナルネットワークには、本人確認の質問に説得力をもって答えるのに十分な個人情報や業務関連の詳細が公開されていました。

繰り返しの折り返し電話の試行により、どのような質問がされているかを探り、成功するまで話の整合性を磨き上げることができました。

並行して攻撃者は、組織の Azure AD におけるサービスアカウントの認証方法として外部メールアドレスを登録し、長期的な永続化を図ろうとしました。この動きは、単一の給与サイクルをはるかに超えてアクセスを維持する意図を示していました。

アカウント乗っ取りから給与の付け替えへ

有効な認証情報と機能するMFAが整うと、攻撃者は通常のユーザーと同様に 給与システム にログインしました。マルウェアもエクスプロイトもなく、認証の痕跡にも明らかな異常はありませんでした。

侵入後、脅威アクターは複数の侵害された従業員アカウントをまたいで迅速に行動しました。機密性の高い給与記録にアクセスし、口座振込の詳細をひそかに変更して、給与を自分たちが管理する銀行口座へリダイレクトしました。

すべてのログインが正当なものに見え、MFAチェックも通過していたため、活動は通常業務に紛れ込み、技術的なアラートを回避しました。

攻撃が明るみに出たのは、従業員が給与未着を訴え始めてからでした。アカウント変更の内部レビューにより、数週間前にさかのぼる不審な更新が見つかりました。

法務顧問が関与し、事案は全範囲の調査とインシデント対応のためにUnit 42へエスカレーションされました。

Unit 42は 導入 したCortex XSIAMを用いて、給与およびHRシステムからのテレメトリを集約・相関し、組織の次世代ファイアウォールのログも併せて分析しました。

この調査により、インシデントは給与の付け替えと標的型のアカウント侵害に限定されており、コアネットワーク内での横展開や大規模なデータ流出の明確な兆候はないことが確認されました。

しかし、より広範な脅威ハンティングの取り組みで、無関係ながら深刻な問題が露呈しました。レガシーなOT環境内で進行中の WannaCry感染 の証拠が見つかったのです。

数年前に拡散したこのランサムウェアは、大きなインシデントを引き起こすことなく運用システム内にひそかに残存していました。監視されていないレガシー資産が長期的なリスクを抱え得ることを痛感させる事例です。

封じ込め、復旧、そして得られた教訓

Unit 42は顧客と緊密に連携し、次の支援を行いました:

  • 侵害されたアカウントを封じ込め、不正な給与変更を取り消す
  • 影響を受けたクラウドIDの管理権を回復し、未承認の認証方法を削除する
  • ITおよびOT環境の両方の強化を開始する。ヘルプデスクでの本人確認の厳格化、MFA登録 と復旧フローの強化、Cortex XSIAMへのログ取り込みの改善、そしてOTシステムにおけるWannaCryの足場の根絶に重点を置く

組織による迅速な対応と、攻撃者の狙いが限定的な金銭目的だったことが相まって、最終的に影響は従業員3名のアカウントに限定されました。

それでもこのインシデントは重要な傾向を浮き彫りにしました。攻撃者は、人が運用するワークフローを悪用するだけで、単一の技術的コントロールも侵害せずに、高インパクトな不正行為やID乗っ取りを実現し得るのです。

防御側にとっての教訓は明確です。ヘルプデスクなど、IDに関わるやり取りは、あらゆる技術的な認証メカニズムと同等の厳格さで扱わなければなりません。

統合された可視性、熟練したセキュリティチーム、そして厳格な検証手順が、次の給与が気付かれないまま別の場所へリダイレクトされるのを防ぐために、いまや不可欠です。

翻訳元: https://gbhackers.com/employee-pay/

ソース: gbhackers.com
#Azure AD #ID管理(IAM) #MFA再登録の悪用 #OSINT(公開情報) #WannaCry(OT環境の残存感染) #アカウント乗っ取り #インシデントレスポンス(Unit 42) #ソーシャルエンジニアリング #ヘルプデスク詐欺 #給与詐欺(ペイロール・ダイバージョン)

関連記事

盗まれたGemini APIキーが自動化されたTelegramの影響工作に悪用

KMW CCTVの深刻な脆弱性、監視映像への不正アクセスを許容

ロシア高官のスマートフォンに外国製スパイウェア——大規模サイバー諜報作戦が発覚