Storm-0501が残忍なハイブリッド型ランサムウェア攻撃チェーンを初披露

Microsoft Threat Intelligenceは本日、金銭目的のグループStorm-0501に関するレポートを公開し、この脅威アクターが乗っ取った特権アカウントを悪用してオンプレミスとクラウド環境間をシームレスに移動し、可視性の隙間を突いてデータの暗号化やバックアップを含むクラウドリソースの大量削除を行うなど、ランサムウェアの戦術をさらに巧妙化させていると警告しました。

「彼らは単にデータを暗号化するだけでなく、バックアップも削除してしまうため、『まあ大丈夫、これで復旧できるから身代金は払わない』とは言えなくなります」と、Microsoftの脅威インテリジェンス戦略ディレクターSherrod DiGrippo氏はCSOに語ります。「本当に残忍なランサムウェア攻撃チェーンです。」

このような極めて侵入的な手法が恐喝のハードルを上げていることから、CISOは特権アカウントの数を見直し制限し、ランサムウェア対応手順を再確認し、オンプレミス資産をクラウドへ移行すべきか再検討することが強く推奨されます。

攻撃チェーンの仕組み

Microsoftは、Storm-0501が複数の子会社で構成され、それぞれが独自のActive Directoryドメインを運用している大企業を侵害した最近のキャンペーンについて説明しています。すべてのドメインはドメイントラスト関係で相互接続されており、クロスドメイン認証やリソースアクセスが可能になっています。

これらのテナントのうち、Microsoft Defender for Endpointが導入されていたのは1つだけでした。複数のActive Directoryドメインのデバイスがこの1つのテナントのライセンスにオンボードされていたため、環境全体に可視性のギャップが生じていました。Microsoftは、脅威アクターがDefender for Endpointサービスの有無を確認していたことから、オンボードされていないシステムを標的にして検知を回避しようとした意図的な動きがあったと指摘しています。

Storm-0501はその後、PowerShellを利用するWindows用のポストエクスプロイトツールEvil-WinRMを使って横方向に移動しました。さらに、Directory Replication Service（DRS）リモートプロトコルを悪用してドメインコントローラーの動作を模倣し、リモートコード実行を可能にするDCSync攻撃を行い、ドメイン内の任意のユーザー（特権アカウントを含む）のパスワードハッシュを要求できるようになりました。

Storm-0501は有効な認証情報を持っていましたが、必要な2段階MFA要素やポリシー条件を満たすことはできませんでした。しかし、オンプレミスの制御を利用してActive Directoryドメイン間を横断し、MFAが設定されていない非人間同期グローバル管理者IDを見つけてオンプレミスのパスワードをリセットし、グローバル管理者アカウントとしてAzureポータルにサインイン、ドメインの完全な制御と永続的なアクセス手段の確立に成功しました。

Microsoftによれば、Storm-0501は悪意のあるフェデレーションドメインを追加することでバックドアを作成し、ほぼすべてのユーザーとしてサインインし、環境全体を把握し、その防御策を理解できるようにしました。その後、組織のAzure Storageアカウントを標的にし、データを自らのインフラへ持ち出しました。

すべてのデータを持ち出した後、グループはAzureリソース（バックアップを含む）を大量削除しました。AzureリソースロックやAzure Storageのイミュータビリティポリシーにより削除できなかったファイルについては、クラウド上ですべて暗号化し、恐喝フェーズを開始。以前侵害したユーザーのMicrosoft Teamsアカウントを使って被害者に連絡しました。

組織に圧力をかける全方位的アプローチ

MicrosoftのDiGrippo氏は、この新手法のユニークな点は、オンプレミスとクラウド両方の資産を持つハイブリッド環境を悪用していることだと強調します。「彼らはオンプレミスとクラウドの両方で自分たちの権限をエスカレートさせ、バックアップを破壊し、残されたデータを暗号化し、『もう復旧はできません』という状況に追い込みます」と彼女は語ります。「この身代金を払わなければ、永久に業務停止です。」

オンプレミス機器は、Storm-0501がこの攻撃チェーンを成立させる鍵となっています。「脅威アクターが脆弱なオンプレミス機器に侵入し、そこからクラウドへピボットできる場合、事実上『王国の鍵』を手に入れたも同然です」とDiGrippo氏は述べます。

「これは従来の多くの脅威アクターとは異なります」とDiGrippo氏は強調します。「彼らはクラウド環境にも、オンプレミス環境にも侵入し、バックアップを削除し、ユーザーアカウントを調べて追加のアカウントを侵害し、環境内に永続的なアクセスを確立します。組織をほぼ勝ち目のない状況に追い込む多面的な攻撃です。」

CISOが取るべき対策

DiGrippo氏は、Storm-0501が過剰な権限を持つアカウントを悪用するため、最小権限アクセスの徹底が「非常に重要」だとCISOに呼びかけています。

また、CISOは自社のランサムウェア対応手順を把握し、どのような状況で身代金を支払うのか、その決定権者は誰か、誰が関与すべきかを理解し、年に複数回その手順を訓練しておくべきだと考えています。

最後に、セキュリティリーダーは「オンプレミス環境の完全な監査を行い、そのリスクが組織にもたらす影響を正しく理解すべきです」とDiGrippo氏は述べます。「過去数年にわたりクラウド移行が進む中、多くの組織は『これはオンプレミスだから移せない、すごく古いし』と考えてきました。」

「今こそ、何をクラウドに移すべきか、何を強化すべきかを本当に理解する時です」とDiGrippo氏は警告します。「私にとって最大の教訓は、これらのハイブリッド環境が非常に脆弱であり、同時に非常に重要だということです。」