Amazon、APT29による認証情報窃取キャンペーンを阻止

出典: gopixa / Shutterstock

サイバーセキュリティ研究者は、APT29による新たな高度な認証情報窃取キャンペーンを摘発しました。APT29は、米国政府が正式にロシアの対外情報庁（SVR）と結びつけている、よく知られた脅威グループです。

この作戦では、脅威アクターが正規のウェブサイトを侵害し、悪意のあるコードを注入して、訪問者をマイクロソフトのデバイス認証システムを悪用しユーザーアカウントへアクセスするための偽のセキュリティ認証ページへリダイレクトさせていました。

ウォータリングホール攻撃

Amazonの脅威インテリジェンスサービスは、この機会主義的なウォータリングホールキャンペーンの詳細を先週公開しました。これは、脅威アクターの攻撃インフラを検知し、成功裏に妨害した後のことです。なお、このインフラには少なくともいくつかのAmazon Elastic Compute Cloud（EC2）インスタンスが含まれていました。

「アクターが新たなインフラへ移行しようとしたにもかかわらず（AWSから他のクラウドプロバイダーへの移動を含む）、私たちのチームは彼らの活動を追跡し、妨害し続けました」とAmazonの最高情報セキュリティ責任者（CISO）であるCJ Moses氏は述べています。

APT29は、Midnight Blizzard、Nobelium、Cozy Bearとも呼ばれ、少なくとも2008年以降、米国および欧州の政府・軍事組織、NGO、テック企業、シンクタンクを標的にしてきました。著名な作戦には、約18,000の組織が改ざんされたソフトウェアアップデートを受け取った2020年のSolarWindsサプライチェーン攻撃、2021年のマイクロソフトの企業システムへの攻撃（2022年1月まで発覚しなかった）、およびHPEのクラウドホスト型メールインフラへの2021年のほぼ同一の攻撃などがあります。

APT29は、標的ネットワークへの初期アクセス獲得のために、スピアフィッシング、パスワードスプレー攻撃、および認証情報の収集といった手法を多用しています。一度侵入すると、正規のセキュリティツールやソフトウェアユーティリティ、Living-off-the-land戦術を用いて長期間潜伏する能力を示しています。多くのキャンペーンで、APT29は信頼されたプラットフォームやクラウドサービス（AWSドメインを含む）を悪用し、正規のトラフィックに紛れて検知を回避しています。

Amazonが最近妨害した作戦で脅威アクターが用いた手法は、攻撃方法の進化を示していました。まず、複数の正規ウェブサイトを侵害し、JavaScriptを注入して、注意を払わない訪問者を、正規のCloudflare認証ページを模倣したドメインへリダイレクトしていました。これらのページは、ボットや分散型サービス拒否（DDoS）トラフィックをブロックするために設計されており、ユーザーが「私はロボットではありません」といったチェックボックスをクリックすることを求められる場合があります。

デバイスコード認証攻撃

検知の可能性を最小限に抑えるため、APT29はランダマイザーを使用し、ウォータリングホールサイトに到達した訪問者のうち10％のみを攻撃者が管理するドメインへリダイレクトしていました。また、同じユーザーが何度も悪意のあるドメインへ誘導されないようにクッキーも設定していました。さらに、ウォータリングホールサイト上の悪意あるコードを難読化するためにbase64エンコーディングも使用していました。

偽のCloudflareページに到達したユーザーは、人間であることを確認するためにメールアドレスの入力を求められます。指示に従ったユーザーは、結果的に攻撃者のデバイスやシステムに自分のMicrosoftアカウントへのアクセスを許可する手順に誘導されてしまいます。

このようなデバイスコード認証攻撃は新しいものではありませんが、それでも比較的まれです。Volexityは今年初め、少なくとも3つのロシア系脅威アクター（そのうちの1つがAPT29）によるこの手法の利用を観測したと報告しています。ベンダーの報告によれば、デバイスコード認証攻撃は「間違いなくあまり知られておらず、国家レベルのアクターによって一般的に利用されているわけではない」とのことです。しかし、使用された場合、「この手法は他の多くの標的型スピアフィッシングキャンペーンよりもアカウントの侵害に成功する可能性が高い」とされています。

この脅威を軽減するために、AmazonのMoses氏はIT管理者に対し、Microsoftのデバイス認証フローに関するセキュリティガイダンスを確認し、必要がなければこの機能を無効化することを検討するよう推奨しています。「デバイスのコンプライアンス、場所、リスク要因に基づいて認証を制限する条件付きアクセス ポリシーを強制してください」とMoses氏は述べています。さらに、特に新しいデバイスが関与する認証要求については、ログの取得と監視も有効だと付け加えています。