Microsoftは、米国政府を含む少なくとも25の組織を侵害した、別の中国によるサイバー諜報キャンペーンを発見した。
このテック大手は、6月16日に顧客からの通報を受け、不審なメール活動の調査を開始した。その後、Storm-0558として追跡されている中国のグループが、5月15日以降、顧客のメールアカウントにアクセスしていたことが判明した。
中国の脅威活動について詳しく読む: NCSC、重要インフラに対する中国のサイバー攻撃に警告
このグループは西ヨーロッパの政府機関を標的にすることで知られ、諜報活動、データ窃取、認証情報へのアクセスに注力していると、Microsoftはブログ投稿で述べた。
脅威アクターは、認証トークンを偽造することで、Exchange Online(OWA)のOutlook Web AccessおよびOutlook.comを介して顧客のメールアカウントにアクセスしたとみられる。
「このアクターは入手した[Microsoftアカウント]MSAキーを用いてトークンを偽造し、OWAとOutlook.comにアクセスしました。MSA(コンシューマー)キーとAzure AD(エンタープライズ)キーは別々のシステムから発行・管理されており、それぞれのシステムでのみ有効であるべきです」とMicrosoftは説明した。
「このアクターはトークン検証の問題を悪用してAzure ADユーザーになりすまし、エンタープライズメールにアクセスしました。Azure ADキーや、他のMSAキーがこのアクターに使用された兆候はありません。OWAとOutlook.comが、入手したMSAキーで偽造したトークンをこのアクターが使用しているのを確認した唯一のサービスです。」
Microsoftは、入手されたMSAキーで署名されたトークンのOWAでの使用をブロックし、ハッカーがそれを使ってさらにトークンを偽造できないようキーを置き換え、影響を受けたすべてのコンシューマー顧客について当該キーで発行されたトークンの使用をブロックすることで、この問題を緩和したと述べた。
Microsoftはこのキャンペーンの影響を受けた機関名を明らかにしなかったが、米国商務省は侵害されたことをBBCに確認した。
MandiantのチーフアナリストであるJohn Hultquist氏は、中国のサイバー諜報活動がますますステルス化していると説明した。
「無防備な被害者をだまして悪意のあるファイルやリンクを開かせるのではなく、これらのアクターは革新を進め、すでに私たちにとって難題となっている新しい手法を設計しています」と彼は付け加えた。
「彼らはインフラ、つまり標的システムへの接続方法さえも変革しました。かつては単純なプロキシ、あるいは中国から直接入ってくることもありましたが、今では侵害されたシステムからなる精巧で短命なプロキシネットワークを介して接続しています。その結果、追跡と検知がはるかに難しい敵対者になっています。」
Keeper Securityのプロダクト責任者であるZane Bond氏は、Microsoftがクラウド顧客を標的とした攻撃だったおかげで、迅速にインシデントを解決できたと主張した。
「技術的な観点から見ると、この攻撃は、セキュリティも提供するクラウドプロバイダーの予期せぬ利点を浮き彫りにしています」と彼は述べた。「この攻撃は個々の顧客ではなくクラウドを標的にしていたため、Microsoftは世界中のすべてのAzure顧客に対して直ちにパッチを適用し、この問題を解決することができました。」
翻訳元: https://www.infosecurity-magazine.com/news/chinese-threat-group-us-government/
