Microsoftは、従業員にリモートアクセスを許可させるクロステナント型ソーシャルエンジニアリング技術について説明し、ステルス的なデータ流出を可能にしています。
Microsoftの新しい調査によると、攻撃者はMicrosoft Teamsなどのエンタープライズコラボレーションプラットフォームを悪用して初期アクセスを獲得し、ITヘルプデスクスタッフになりすまし、従業員にリモートコントロールを許可するよう説得しています。
ブログ投稿で、Microsoftは脅威アクターがTeamsの外部アクセス機能を介して従業員との会話を開始する「クロステナントヘルプデスクなりすまし」技術について説明しました。
「攻撃者はソーシャルエンジニアリングを使用してユーザーにアクセスを許可するよう説得します」とMicrosoftは述べており、このアプローチにより敵が信頼できる通信チャネル内で動作し、従来のフィッシング防御をバイパスすることができることを指摘しています。
従来のフィッシングやエクスプロイト駆動型の攻撃とは異なり、この技術はMicrosoftが「ユーザー承認アクセス」と特徴づけるものに依存しています。被害者は正当なツールを使用してリモートセッションを開始するよう説得され、実質的に攻撃者にコントロールを譲渡し、典型的なマルウェアベースの検出をトリガーしないとブログ投稿は述べています。
コラボレーションアプリへのシフト
この技術は新しく見えるかもしれませんが、分析家はそれが攻撃方法の再発明というより進化を反映していると述べています。
「私の視点からすると、これは根本的なシフトというより既存のソーシャルエンジニアリング戦術の進化です」とEverest Groupのシニア分析家であるPrabhjyot Kaurは述べました。「根本的な目的は変わっていません。攻撃者はまだユーザーの信頼と緊急性を悪用して初期アクセスを獲得しています。変わっているのはチャネルです。」
Teamsのようなプラットフォームが職場コミュニケーションの中心になるにつれて、攻撃者はユーザーがいるそれらの環境に従っています。電子メールとは異なり、これらのプラットフォームはリアルタイムエンゲージメントを可能にし、ITまたはヘルプデスクスタッフになりすましがより説得力のあるものになります。
Kaurはコラボレーションプラットフォームがリアルタイム相互作用を可能にし、メールベースのフィッシングよりもITまたはヘルプデスクスタッフになりすましがより説得力があると述べました。「したがって、フィッシングを置き換えるのではなく、これは攻撃面を拡張し、ソーシャルエンジニアリングをより運用上効果的にします」とKaurは述べました。
シフトのより鋭い見方を提供して、Greyhound Researchのチーフ分析家であるSanchit Vir Gogiaは、変化はチャネルについてより少なく、攻撃がどのように展開するかについてより多いと述べました。「フィッシングは注意を求めました。このモデルは参加を要求します」と彼は述べました。
「攻撃者は正当なワークフローに自分自身を挿入し、アクセスを許可する行動をステップバイステップでユーザーをガイドしています」とGogiaは付け加え、単純な詐欺ではなく「ガイド付き実行」への動きとして説明しました。
Microsoftの調査結果は、攻撃者がTeamsチャットと通話を使用してITサポートになりすまし、リモートアクセスを開始する以前の事件に続いています。
クロステナントリスクが増加
攻撃チェーンはTeamsのクロステナント通信機能を使用しており、外部ユーザーが従業員とのチャットを開始することを可能にしていますとMicrosoftはブログで述べました。
「クロステナントリスクは重大であり、多くの組織はおそらくそれを過小評価しています」とBeagle SecurityのアドバイザーであるSunil Varkeyは述べました。
「コラボレーションツールは摩擦を減らすために設計されましたが、多くの組織はZero Trust制御を完全に適用する前にその利便性を有効にしました」とVarkeyは述べました。「持続可能なアプローチは、これらのプラットフォームのビジネス価値を維持しながら、すべての外部相互作用、サポートリクエスト、およびアクセス承認を検証、制限、監視する必要があるものとして扱うことです。」
彼はこのリスクを物理的セキュリティギャップと比較しました。誰でもロビーに入ることを許可することは、彼らが従業員を制限されたエリアに連れて行ってアクセスを要求できることを意味するべきではありません。
Kaurは、多くの企業がまだコラボレーションプラットフォームを攻撃面の一部としてではなく主に生産性ツールとして扱っていると付け加えました。「クロステナントアクセスはビジネスに必要ですが、それはしばしば十分に理解されていないか厳しく制御されていない信頼境界を導入します」と彼女は述べました。
Gogiaは、この問題は現代の環境で信頼がどのように適用されるかに根ざしていると述べました。「外部アクターは現在、従業員が内部調整と関連付ける環境内で相互作用を開始できます」と彼は述べており、これが「虚偽の安全感」を作成していると付け加えました。
検出がより困難になる
Microsoftは、攻撃者がエントリを獲得した後、正当な管理ツールとリモートアクセスユーティリティを使用し、アクティビティを正常な操作と区別しにくくすると述べました。
攻撃者は正当なツールと承認されたワークフローを使用しているため、「分離では明らかに悪意のあるように見えるものはほとんどありません」とKaurは述べました。「これらの攻撃は通常のIT操作に混ざります。」
Microsoftはまた、攻撃者がネイティブ管理ツールと正当なデータ転送ユーティリティに依存して横方向に移動し、定期的なアクティビティとして表示されながらデータを流出させると述べました。
これは行動検出への焦点をシフトさせます。「セキュリティチームはアクティビティのシーケンスの検出を優先すべきです」とKaurは述べており、勧誘されていない外部Teamsの相互作用に続いてリモートサポートアクティビティと横方向の移動などのパターンを指摘しています。
Gogiaは、これは検出アプローチのシフトを必要とすると述べました。「これらの攻撃はエクスプロイトに依存しません。それらはシーケンスに依存しています」と彼は述べました。「個々のアクションはそれぞれ正当に見えます。妥協は、それらのアクションが接続されたときにのみ出現します。」
Varkeyは、防御者が従来のインジケータを超える必要があると付け加えました。「これらの攻撃は正当なツールとユーザー承認アクションに依存しているため、セキュリティチームはマルウェアだけでなくコンテキストと行動に焦点を当てる必要があります」と彼は述べました。
より厳しいコントロールが必要
リスクを減らすために、専門家は組織がコラボレーション環境をより強くガバナンスする必要があると言っています。
「コラボレーションプラットフォームはしばしば利便性を優先して構成され、簡単な外部チャット、通話、画面共有、リモートアシスタンスがありますが、それらの機能がどのように一緒に悪用される可能性があるかを完全に考慮していません」とVarkeyは述べました。
Kaurは統合的な可視性の必要性を強調しました。「最も効果的な防御は、個別のレイヤーとして扱うのではなく、コラボレーション、アイデンティティ、エンドポイント、およびSOC可視性を統合することから来るでしょう」と彼女は述べました。
推奨される対策には、外部アクセス制御を厳しくする、リモートサポートツールを承認されたワークフローに制限する、条件付きアクセスと多要素認証を実施する、および正当なITサポート相互作用がどのように発生するかについてのユーザー認識を改善することが含まれていますとMicrosoftは述べました。
