ある脅威アクターが、新たなクラウドベースのランサムウェア攻撃において、被害者のMicrosoft Azure環境からデータを流出させた後、データとバックアップを破壊した。
Microsoft Threat Intelligenceは最近、Storm-0501として追跡されているアクターが用いた戦術の詳細を、8月27日に公開されたブログで提供した。最終的に脅威アクターは、データを復元することで被害者が効果的な復旧および緩和措置を講じることを阻止した。
このグループはクラウドの機能と能力を活用し、被害者環境から大量のデータを迅速に流出させ、自らのインフラへ送信した。これにより、従来のオンプレミスへのマルウェア配布に依存することなく、効果的なランサムウェア攻撃を実行できた。
Storm-0501は金銭目的の脅威アクターで、2021年に初めて出現して以来、複数回にわたり戦術を適応させてきた。これにはランサムウェアのペイロードを複数回切り替えることが含まれ、2024年の攻撃ではEmbargoランサムウェアの使用も含まれている。
同グループの標的選定は機会主義的で、被害者には学校や医療機関が含まれる。
Microsoftは以前、2024年9月に、Storm-0501がオンプレミスのランサムウェア活動をハイブリッドクラウド環境へ拡大したと報告していた。
Microsoft脅威インテリジェンス戦略ディレクターのSherrod DeGrippo氏はInfosecurityに対し、このキャンペーンはランサムウェア手法の大きな進化を示していると語った。
「これまでも、ハイブリッドのオンプレミスおよびクラウド環境を標的とする脅威アクターは見られました。Storm-0501のケースでは、脅威アクターがデータを流出させ、バックアップを削除し、身代金を要求する前にデータを暗号化しています。これに加えて、永続的アクセスの獲得に注力している点は、ランサムウェアの状況全体にとって大きな進化を示しています」と彼女はコメントした。
「この手法は、より広範に他の脅威アクターにも採用される可能性が高い」とDeGrippo氏は付け加えた。
Storm-0501、クラウドへ転換
最近のキャンペーンでは、Storm-0501は複数の子会社から成る大企業に侵入し、各社はそれぞれ独自のActive Directoryドメインを運用していた。
侵害後の活動は2つのテナントに影響し、後者では最終的にAzure上に存在する組織の価値あるデータストアへのアクセスにつながった。
攻撃者は両テナントにおいて、オンプレミスからクラウドへピボットすることを狙った。
攻撃者は最初のテナントでドメイン管理者権限を獲得した。横方向の移動を容易にするため、侵害後ツールのEvil-WinRMを展開した。
脅威アクターは、横方向移動のピボットポイントとして機能するEntra Connect Syncサーバーも侵害した。
さらにStorm-0501はDCSync攻撃を実行した。これはDirectory Replication Service(DRS)Remote Protocolを悪用し、ドメインコントローラーの挙動を模倣する手法である。ドメインコントローラーになりすますことで、脅威アクターは特権アカウントを含むドメイン内の任意ユーザーのパスワードハッシュを要求できた。
Entra Connect Syncのディレクトリ同期アカウント(DSA)は、テナント内のユーザー、ロール、Azureリソースを列挙するために使用された。
その直後、Storm-0501は複数の特権ユーザーとしてのサインインを試みたが失敗した。条件付きアクセス ポリシーと多要素認証(MFA)によってブロックされた可能性が高い。
その後、アクターは2つ目のテナントに注意を向けた。このプロセスはActive Directoryドメイン間の移動から始まり、最終的に別のEntra IDテナントに関連付けられた2台目のEntra Connectサーバーの侵害に至った。
脅威アクターはディレクトリ同期アカウントを抽出し、偵察プロセスを繰り返した。今回は2つ目のテナント内のIDとリソースを標的とした。
攻撃者は、Microsoft Entra IDでグローバル管理者ロールが割り当てられている非人間の同期IDを特定した。このアカウントには登録済みのMFA方式がなく、ユーザーのオンプレミスのパスワードをリセットできた。ほどなくして、そのパスワードはEntra Connect Syncサービスを介して当該ユーザーのクラウドIDへ正規に同期された。
これにより脅威アクターは、新しいパスワードで当該ユーザーとしてEntra IDに対して認証でき、さらに自らが管理する新しいMFA方式を登録した。
この段階で攻撃者は、侵害したグローバル管理者アカウントを用いて組織のAzureポータルへアクセスしようとした。
このプロセスでは、ポータルへのサインインに成功するまでネットワーク内の複数デバイス間で横方向移動が行われた。
研究者らは「脅威アクターが条件付きアクセス ポリシーを満たし、グローバル管理者アカウントとしてAzureポータルに正常にサインインできた時点で、Storm-0501は実質的にクラウドドメインを完全に制御した。その後、脅威アクターはクラウドでの目的を達成するために、可能な限り最高のクラウド権限を利用した」と述べている。
認証に成功した後、脅威アクターは悪意をもって追加したフェデレーション ドメインを用いてバックドアを作成し、ほぼ任意のユーザーとしてサインインできるようにした。
Azureにおけるデータ流出と削除
Microsoftは、Storm-0501がMicrosoft.Authorization/roleAssignments/write操作を呼び出すことで、利用可能なすべてのAzureサブスクリプションに対して自らにAzureのOwnerロールを割り当てたことを確認した。
この時点からアクターは、データの流出と削除につながる一連の操作を実行した。これには、機密情報を含むデータストアなど、組織の重要資産を特定するための包括的な探索フェーズが含まれていた。
同グループはまた、Azure Ownerロールを悪用して、キーアクセスが有効になっているAzure Storageアカウントのアクセスキーを窃取した。
Azure Storageアカウントを露出させた後、アクターはAzCopyコマンドラインツール(CLI)を悪用し、それらのアカウントに含まれるデータを自らのインフラへ流出させた。
流出フェーズが完了すると、Storm-0501は複数のAzureリソースプロバイダーを使用して、被害組織のデータを含むAzureリソースの大量削除を開始した。この行為により、被害者はデータを復元できなくなった。
不変(イミュータブル)ポリシーによって削除から保護されていたリソースについては、同グループはクラウドベースの暗号化に訴えた。
最後にStorm-0501は、侵害したユーザーを用いてMicrosoft Teams経由で被害者に連絡し、恐喝要求を開始した。
クラウドベースのランサムウェア戦術への防御方法
- Azure blobバックアップを有効化し、blobやストレージアカウントの偶発的または悪意ある削除から保護する
- Azure Storageのblobデータへのアクセスを許可する際に最小権限の原則を適用する
- Azure Key Vaultでログを有効化し、調査目的でアクティビティの追跡を再構築できるよう最大1年間保持する
- Microsoft Azure Backupを仮想マシン向けに有効化し、Microsoft Azure仮想マシン上のデータを保護する
- オンプレミスおよびハイブリッドのMicrosoft Security Exposure Managementの攻撃パスを調査する
画像クレジット: DANIEL CONSTANTE / Shutterstock.com
翻訳元: https://www.infosecurity-magazine.com/news/ransomware-deletes-data-backups/
