脆弱なデバイスのDNS設定を変更することで、Forest BlizzardはユーザーをMicrosoft脅威インテリジェンスによるとの悪意のあるインフラストラクチャにリダイレクトして、認証情報とセッションデータをキャプチャしています。
ロシアの脅威アクターであるForest Blizzardは、ルーターなどの保護されていないホームおよび小規模オフィスのインターネット機器を悪用して、トラフィックを攻撃者が制御するDNSサーバーを通じてリダイレクトしています。
このグループはこのDNSハイジャッキング活動を活用して、トランスポート層セキュリティ(TLS)接続に対する侵害後の中間者攻撃(AiTM)をサポートしており、Microsoft OutlookウェブドメインをターゲットにしていますとMicrosoft脅威インテリジェンスレポートに示されています。上流のエッジデバイスを侵害することで、攻撃者はより監視されていないネットワークを悪用し、エンタープライズ環境へのアクセスへの経路として使用することができます。
200以上の組織と5,000台以上のコンシューマーデバイスが、Forest Blizzardの悪意のあるDNSインフラストラクチャの影響を既に受けていますが、Microsoftによると、これは主にロシア政府の外交政策目標をサポートするインテリジェンス収集に使用されています。この活動はクラウドホストコンテンツの傍受を可能にし、政府、IT、通信、エネルギーセクターが主要なターゲットに含まれています。
TLS AiTMのために特にターゲットにされた組織の数は脆弱なSOHOデバイスを持つネットワークのサブセットのみですが、脅威アクターの広範なアクセスはより大規模なAiTM攻撃を可能にする可能性があり、これはアクティブなトラフィック傍受を含む可能性があるとMicrosoftはブログ投稿で述べています。
ハイジャックされたルーター、盗まれたセッション
Forest Blizzard(UK国家サイバーセキュリティセンターによってAPT28としても呼ばれている)は、ホームおよび小規模オフィスのルーターに侵入し、ネットワーク設定を変更して、インターネットトラフィックを独自のDNSサーバーを通じて送信するようにしました。このために、脅威アクターはほぼ確実にdnsmasqユーティリティを使用してDNス解決を実行し、ポート53でDNSクエリをリッスンしながら応答を提供しました。Microsoft脅威インテリジェンスは述べています。
ほとんどの場合、攻撃者は接続を中断することなく静かにトラフィックを監視していました。しかし、特定のターゲットに対しては、DNs応答を偽造し、ユーザーを彼らが制御する偽のインフラストラクチャに積極的にリダイレクトしました。これらはMicrosoft Outlookウェブに関連付けられたドメインのサブセットを含みました。アフリカの少なくとも3つの政府組織でMicrosoft以外のホストサーバーをターゲットにした個別のAiTM活動も特定されました。
「攻撃者が制御する悪意のあるインフラストラクチャは、その後、被害者に無効なTLS証明書を提示して、正当なMicrosoftサービスを偽造します。侵害されたユーザーが無効なTLS証明書に関する警告を無視した場合、脅威アクターはTLS接続内の基礎となるプレーンテキストトラフィック(メールおよび他の顧客コンテンツを含む可能性がある)を積極的に傍受することができました」とブログ投稿は主張しています。
エンタープライズシステムへの目に見えない経路
この攻撃は、企業の周囲で始まるのではなく、従業員の環境から始まるため、エンタープライズにとって深刻なリスクをもたらします。これはしばしばより安全性が低いです。脅威アクターは脆弱なホームまたは小規模オフィスのルーターをターゲットにし、これらは弱いデフォルトパスワードまたはパッチが当たっていないソフトウェアを持つことがよくあります。
リモートワークへのシフトは、企業の攻撃面を劇的に拡大し、攻撃者が企業システムに直接侵害することなく、企業アカウントへの経路を作成することを可能にしました。
「実世界への影響は深刻です。攻撃者は認証情報を傍受し、トラフィックを悪意のあるサイトにリルート、またはマルウェアを挿入できます。すべてこれは企業ファイアウォールを侵害することなく行われます。これはデータ漏洩、詐欺、またはさらには従業員のリビングルームから発信するランサムウェアインシデントにつながる可能性があります」と、GartnerのシニアプリンシパルアナリストのApeksha Kaushikは述べています。「さらに、ホームネットワークの可視性と制御の欠如は、これらの攻撃が検出されないままで持続する可能性があり、最も堅牢な企業セキュリティプログラムでさえ損なわれることを意味します。本質的には、すべての保護されていないホームネットワークは企業への潜在的なバックドアになり、リスクを増幅し、インシデント対応を複雑にします。」
検出されません。最も堅牢な企業セキュリティプログラムでさえ損なわれることを意味します。本質的には、すべての保護されていないホームネットワークは企業への潜在的なバックドアになり、リスクを増幅し、インシデント対応を複雑にします。」
企業ネットワークを超えた防御
CISOにとって、これは単に企業ネットワークを保護することを超えて、従業員のホーム環境と管理されていないデバイスのリスクに対処することを含むフォーカス領域を拡大します。
「まず、パスワードの使用を停止してください。特にハードウェアトークンなど、フィッシング攻撃を許さない堅牢な2段階認証システムは、認証情報が取得されている場合でもこれらの攻撃のほとんどを防ぐことができます」と、Primus PartnersのCEOおよび共同創設者のDevroop Dharは述べています。
Dharは、CISOはアイデンティティの行動を制御することを見るべきだと付け加えました。たとえば、ログイン手順に異常な場所またはデバイスが関係している場合、追加の警告またはチェックが生成される必要があります。
「スプリットトネリングが無効なコーポレートVPNまたはDNS over HTTPSを強制してコーポレートセキュアDNSソリューションを実装することで、すべてのDNSクエリがローカルホームルーターをバイパスして信頼できるコーポレートサーバーに直接移動するようにしてください」と、Ankura Consultingのグローバルパートナーである Amit Jajuが提案しました。「また、コーポレートクラウドリソースへのアクセスを付与する前に、デバイスがモバイルデバイス管理に登録され、準拠とマークされていることを必要とする厳密な条件付きアクセスポリシーを実装してください。」
専門家はまた、すべての予防措置と防御措置を講じた後でも、従業員教育を最優先とするべきであると警告しており、ログイン手順中に疑わしい行動を認識するようにトレーニングされる必要があります。
