TokyoBlackHatNews

gbhackers.com 4分で読了

マイクロソフトが偽造ITワーカーアイデンティティのクラウド環境への浸透を警告

マイクロソフトは、北朝鮮に関連する「Jasper Sleet」グループが、遠隔採用を悪用して、正当なスタッフになりすまして偽造ITワーカーをクラウド環境に潜り込ませ、信頼されたアクセス権を悪用していると警告しています。

パンデミック以来、多くの企業は世界中から採用し、オンラインで身元を確認し、スタッフを完全にリモートで配置しています。

マイクロソフトが追跡している北朝鮮のリモートITワーカー操作「Jasper Sleet」は、盗まれた、または捏造されたアイデンティティ、AIで磨かれた履歴書、深い社会工学を用いることで、契約者または従業員として採用されることを利用しています。

内部に入ると、これらの偽造ワーカーは静かに収益を生み出すか、体制にデータを移動させるか、さらなるシステム侵害と恐喝を仕掛けることができます。

職業発見フェーズでは、Jasper Sleetのオペレータが企業のキャリアポータルと公開求人掲示板を組織的にスキャンして、リモートテクニカル職、特にクラウドとIT職を探します。

マイクロソフトは大規模に生成型AIを使用していることを報告し、職務経歴書を分析し、必要なスキルとツールを抽出し、この言語を活用してカスタマイズされた履歴書、カバーレター、およびオンラインプロフィールを作成しています。

このAI駆動のコンテンツにより、彼らは自動スクリーニング、採用担当者のレビュー、初期面接を簡単に通過できる強力でよくマッチした候補者に見えます。

Workday APIおよびHR SaaSの悪用

多くの組織は、Workday(外部キャリアサイトおよびRecruitment Web Service等を提供する)などのHR SaaSプラットフォーム経由の求人掲示を公開しています。

Image

マイクロソフトは、Jasper Sleetインフラストラクチャが、ロールを列挙し、アンケートを取得し、一括でアプリケーションを送信するために、Workday hrrecruiting API(アカウント、ジョブアプリケーションパッケージ、検証、および履歴書用)に繰り返されたコールを行っていることを観察しています。

正当な申請者もこれらのエンドポイントにアクセスしていますが、攻撃者は複数の外部アカウントを使用し、同じAPIパターンを大規模で繰り返すことで目立ちます。これは自動ジョブ発見とアプリケーション活動を示しています。

採用パイプラインに入った後、Jasper Sleetは、メール、Teams、Zoom、またはWebexなどの会議プラットフォーム経由で採用チームと相互作用します。

マイクロソフトはMicrosoft DefenderアドバンスドハンティングおよびWorkday、Zoom、Webex、DocuSignのためのDefender for Cloud Appsコネクタを使用して、疑わしい外部アカウント、危険なIPレンジからのインタビュートラフィック、および採用中の異常なドキュメント署名動作を検出することをお勧めしています。

Image

偽造ワーカーが雇用されると、正当なコーポレートアイデンティティおよびSharePointなどのアプリケーション、OneDrive、およびExchange Onlineへのアクセス権を受け取ります。これらはその後、データ盗難または長期的な永続性のために悪用されます。

採用後の異常およびDefenderの検出

観察されたケースでは、新たに雇用されたJasper Sleetのペルソナが既知のアクターインフラストラクチャから新しいWorkdayアカウントにサインインし、給与情報をすぐに変更して給与をリダイレクトしました。

マイクロソフトはまた、オンボード直後に「不可能な旅」アラートおよび匿名プロキシからの異常なサインインのスパイクを見ており、多くの場合Microsoft 365全体のデータ検索およびダウンロード活動に関連しています。

Defender for Cloud Appsは現在、疑わしいWorkday給与および採用活動を表示し、Microsoft Defender XDRは不可能な旅とJasper Sleetと疑われるエンティティに関連するサインインにフラグを立てます。

マイクロソフトは組織に採用とオンボードを攻撃面の一部として扱い、HRテレメトリをセキュリティ監視と融合させることを促しています。

推奨されるアクションには、関連するDefender for Cloud Appsコネクタを有効にすること、外部候補アクティビティをJasper Sleetの脅威インテリジェンスと関連させること、および新規採用アカウントの異常を積極的に調査することが含まれます。

セキュリティとHRチームはまた、スタッフが候補者の社会工学的な危険信号を識別するようにトレーニングし、マイクロソフトの脅威分析とJasper Sleetアクタープロファイルを使用して、この進化する偽造ワーカーの脅威に先手を打つ必要があります。

翻訳元: https://gbhackers.com/fake-it-worker-identities/

ソース: gbhackers.com
#AI駆動攻撃 #Jasper Sleet #Microsoft Defender #Workday #アイデンティティ盗用 #クラウドセキュリティ #リモート採用セキュリティ #北朝鮮 #採用フロー攻撃 #社会工学

関連記事

Spring Authorization Serverの重大な脆弱性がシステムをXSSおよびSSRF攻撃にさらす

重大なBambooデータセンターおよびサーバーの脆弱性がコマンドインジェクション攻撃を可能にする

Auraboros RATがライブオーディオ、キーロギング、オープンC2パネル経由のクッキー盗聴機能を追加