TokyoBlackHatNews

gbhackers.com 4分で読了

イランと関連するハッカーが中東のM365テナントを標的としたパスワードスプレーキャンペーンで攻撃

イランと関連する脅威アクターが、新しい調査結果によると、中東全域のMicrosoft 365環境を標的とした協調的なパスワードスプレーキャンペーンを開始しました。

3月を通じて観察されたこの活動は、3月3日、3月13日、3月23日の3つの異なる波で展開されました。

このキャンペーンは主にイスラエルとアラブ首長国連邦の組織を標的とし、イスラエルの300以上の組織とUAEの25以上の組織に影響を与えました。

Image

ヨーロッパ、アメリカ、イギリス、サウジアラビアでも限定的な標的化が観察され、より広範な偵察または機会的な拡大の可能性が示唆されています。

研究者は、特にイスラエルにおいて自治体が主要な標的であることを発見しました。これらの組織はミサイル攻撃時の緊急対応とインフラ管理において重要な役割を果たしています。

Check Point Research(CPR)は、Microsoft 365環境を標的としたパスワードスプレーキャンペーンを継続して追跡しています。

CPRは、標的となった自治体と同じ期間にイランのミサイル攻撃の影響を受けた地域との相関関係に注目しました。

この重複は、このキャンペーンが物理的な軍事作戦を支援するために設計され、具体的には情報収集と爆撃被害評価(BDA)を可能にしたのかもしれないことを示唆しています。

市区町村のシステムにアクセスすることで、攻撃者はほぼリアルタイムで被害報告、緊急対応、復旧活動に関する情報を得られる可能性があります。

自治体の他に、攻撃者は政府機関、エネルギー部門の組織、民間企業も標的としており、より広範な情報収集の目的を反映しています。

攻撃手法と実行

このキャンペーンはパスワードスプレーに依存していました。これは攻撃者が一般的に使用される、または弱いパスワードの小さなセットを使用して複数のアカウントにログインしようとする手法です。

その後、攻撃者はVPN IPアドレス(Windscribe IP範囲185.191.204.X またはNordVPN IP範囲169.150.227.X)からイスラエルに地理的に位置する完全なログインプロセスを実行し、地理的制限を回避します。

Image

単一のアカウントに焦点を当てるブルートフォース攻撃とは異なり、パスワードスプレーは多くのユーザーに試行を分散させてアカウントロックアウトと検出を回避します。

セキュリティコントロールを回避するために、攻撃者はTor出口ノードを含む複数の回転するIPアドレスを使用しました。また、Internet Explorer 10を模倣するUser-Agentストリングを使用してトラフィックを偽装し、悪意のあるアクティビティを合法的なトラフィックに混ぜるのに役立ちました。

有効な認証情報を取得すると、攻撃者は侵害フェーズに進みました。彼らはWindscribeやNordVPNなどの商用VPNサービスを使用してログインし、多くの場合、イスラエルに地理的に位置するIPアドレスを使用していました。このタクティクスは地理的制限をバイパスするのに役立ち、疑いを減らしました。

最終段階では、攻撃者は電子メールコンテンツおよび侵害されたMicrosoft 365テナント内の潜在的な他のクラウドホストされた情報を含む機密データにアクセスしました。

Check Point Researchは、適度な確信をもってこのキャンペーンがイランベースの脅威アクターとリンクしていると評価しています。

この結論は、イランの戦略的利益に合致するターゲティングパターンと、以前に特定されたグループとの技術的な重複に基づいています。

このアクティビティは、Gray SandstormやPeach Sandstormなどのイランとつながる既知のアクターとの類似性を示しており、両者は過去のキャンペーンで初期アクセスのためにパスワードスプレーを使用していました。

Image

Tor インフラストラクチャ、レッドチームツール、およびAS35758に関連するVPNサービスの使用は、この帰属をさらに支持しています。

対策

Microsoft 365を使用している組織は、このような攻撃に対する防御を強化するよう促されています。主な推奨事項は以下の通りです:

  • 特に異なるアカウント間での複数の失敗したログイン試行など、異常なパターンのサインインログを監視してください。
  • 地理的フェンシングを実装し、Torなどの匿名化サービスからのアクセスをブロックしてください。
  • 特に管理アカウントについて、すべてのユーザーに多要素認証(MFA)を実装してください。
  • 強力なパスワードポリシーを維持し、通常の認証情報の更新を確認してください。
  • 監査ログを有効にして保持し、疑わしいアクティビティの調査をサポートしてください。

このキャンペーンは、サイバー作戦がデジタル侵害と現実世界の軍事目標をブレンドして、地政学的紛争とますます統合されているかを強調しています。機密地域とセクターの組織は高い警戒を保つ必要があります。

翻訳元: https://gbhackers.com/m365-tenants/

ソース: gbhackers.com
#APT(高度な脅威) #Microsoft 365 #イランのサイバー攻撃 #クラウドセキュリティ #パスワードスプレー攻撃 #中東地域 #初期アクセス #地政学的サイバー戦争 #多要素認証 #自治体インフラ

関連記事

盗まれたGemini APIキーが自動化されたTelegramの影響工作に悪用

KMW CCTVの深刻な脆弱性、監視映像への不正アクセスを許容

ロシア高官のスマートフォンに外国製スパイウェア——大規模サイバー諜報作戦が発覚