出典:Zute Lightfoot(Alamy Stock Photoより)
進歩の歩みは続いており、脅威アクターが「クラウド型ランサムウェア」と呼ばれる攻撃を実行しました。
マイクロソフトは8月27日、2021年から活動しているランサムウェアアクター「Storm-0501」に関する調査結果を公開しました。これまで同グループは、Embargo、Hunters International、Hive、BlackCat/ALPHV、LockBitなど、さまざまなランサムウェア・アズ・ア・サービス(RaaS)を利用してきました。昨年9月、マイクロソフトは同グループが認証情報を購入する戦術から、脆弱な認証情報を利用してオンプレミスからクラウド環境へ横展開する方法に戦術を変更したことを詳細に報告しました。
今回の最新調査では、Storm-0501が戦術・技術・手順(TTP)をさらに進化させた様子が明らかになっています。特に、「脅威アクターがクラウド特権の昇格を通じてクラウド型ランサムウェアの影響を達成し、侵害された環境全体の保護と可視性のギャップを利用し、オンプレミスからクラウドへと横展開した」最近の攻撃について説明しています。
クラウド型ランサムウェア
マイクロソフトによると、Storm-0501はマルウェアではなく、被害者環境のネイティブ機能を悪用するクラウドベースの攻撃へとシフトしており、攻撃者はデータを迅速に大量流出させた後、データやバックアップを破壊できるようになっています。
最近の攻撃では、Storm-0501は複数の子会社を持つ大企業を侵害しました。各子会社は異なるセキュリティ体制を持つ独立したが相互接続されたMicrosoft Azureクラウドテナントを運用していました。Microsoft Defender for Endpointが導入されていたのは1つのテナントのみで、複数のActive Directoryドメインからのデバイスがこの1つのテナントにオンボードされていたため、環境には大きな可視性のギャップがありました。
さらに、「Active DirectoryドメインはEntra Connect Syncサーバーを使用して複数のEntra IDテナントと同期されていました」とブログ記事は説明しています。「場合によっては、1つのドメインが複数のテナントと同期されており、アイデンティティ管理と監視がさらに複雑になっていました。」
つまり、このケースの被害者(匿名)は、環境が一貫しておらず重大なセキュリティホールがあったため、Storm-0501がテナント間を横断して移動し、クラウドリソース同士を利用して最大限の被害を与えることが可能となっていました。
Storm-0501はMicrosoft Defenderに接続されていない複数のデバイスを侵害し、ドメイン管理者権限を獲得しました。これは、事前の偵察の一環として保護されていないデバイスを探すことで意図的に行われました。攻撃者はその後、ポストエクスプロイトツールを使用してリモートコード実行と横展開を実現しました。
最初のテナントでオンプレミスの侵害を達成した後、Entra Connect Sync Directory Synchronization Account(DSA)を通じてユーザー、ロール、リソースを列挙しました。Storm-0501はさらに、Azureツール「AzureHound」を使って関係性や権限をマッピングしました。
グループは侵害の過程で認証情報を取得したようですが、多要素認証(MFA)のチャレンジを回避または満たすことができず、Storm-0501は第2のテナントを標的に切り替えました。
「Active Directory環境での足場を活用し、Active Directoryドメイン間を移動し、最終的に異なるEntra IDテナントおよびActive Directoryドメインに関連付けられた第2のEntra Connectサーバーを侵害しました」とブログ記事は述べています。「脅威アクターはDirectory Synchronization Accountを抽出し、今回は第2テナントのアイデンティティとリソースを標的として偵察プロセスを繰り返しました。」
攻撃者は、第2テナントのMicrosoft Entra IDでグローバル管理者ロールに割り当てられている非人間型のIDを発見し、これにはMFAが設定されていませんでした。これにより、脅威アクターは簡単にパスワードをリセットし、新しいMFA方法を設定し、顧客の条件付きアクセスのポリシー構成を満たすことができました。最後に、Storm-0501は接続されたデバイス間を横断して移動し、最後の条件付きアクセス要件を満たすハイブリッド参加デバイスを発見しました。
これらの権限により、攻撃者はクラウドドメインを完全に制御できるようになり、バックドアなどの追加の永続化メカニズムを確立しました。Storm-0501は侵害した顧客のAzureストア内で自身のアクセス権を昇格させ、包括的な探索プロセスを開始し、データを流出させ、Azureリソースを大量削除しました。これにより「被害者がデータを復元して対策・緩和を行うことができなくなりました。」
一部のリソースは削除できなかったため、Stormは新しいAzure Key Vaultと顧客管理の新しいキーを作成し、「クラウド型暗号化」を実施して被害者に対する交渉材料としました。攻撃者はデータをアクセス不能にするためキーの削除も試みましたが、マイクロソフトは「暗号化目的で使用されるAzure Key Vaultおよびキーは、Azure Key Vaultのソフト削除機能によって保護されており、デフォルトで90日間は削除から復元できるため、クラウド型暗号化によるランサムウェア目的の被害を防止できます」と指摘しています。
最後に、Storm-0501は以前に侵害したユーザーを使ってMicrosoft Teams経由で被害者に連絡し、身代金を要求しました。マイクロソフトは被害者が支払ったかどうかは明らかにしていません。
Defenderによる対策と教訓
マイクロソフトの脅威インテリジェンスディレクター、Sherrod DeGrippo氏はDark Readingに対し、Storm-0501は「重要かつ機密性の高い環境をオンプレミスで運用している組織にとって特に懸念される」と述べています。
「影響はデータ損失にとどまりません。Storm-0501のキャンペーンは業務を停止させ、重要なデータを消去し、組織を恐喝や規制上の罰則、評判の損失にさらす可能性があります」とDeGrippo氏は述べています。「この脅威アクターは迅速な適応力と業種を問わない標的選定を持っています。Storm-0501は戦術を素早く変更し、幅広い業種を標的にできる能力を示しており、クラウドサービスを利用するあらゆる組織が標的となり得ます。」
同様の事態を他の組織が防ぐため、マイクロソフトはブログ記事で「最近、Microsoft Entra IDにおいて、Microsoft Entra Connect SyncおよびMicrosoft Entra Cloud SyncのDirectory Synchronization Accounts(DSA)ロールの権限を制限する変更を実施した」と述べており、今回の調査で見られたような特権昇格を防ぐことを目的としています。
オンプレミスの顧客向けには、マイクロソフトはタンパープロテクションの使用、エンドポイント検出・応答製品のブロックモードでの運用、可能な限り全自動の調査と修復の有効化を推奨しています。クラウドID向けには、最小権限の原則の実践、十分な条件付きアクセスのポリシーの有効化、すべてのユーザーに対するMFAの有効化を推奨しています。
検出および推奨事項の全リストはブログ記事で確認できます。