サイバーセキュリティおよび情報機関からなるFive Eyes(英米豪加NZの情報共有枠組み)は、ロシア政府支援の脅威アクターであるAPT29の進化するクラウド攻撃戦術に関する共同アドバイザリーを発表した。APT29は、BlueBravo、Cloaked Ursa、Cozy Bear、Midnight Blizzard(旧Nobelium)、The Dukesとしても知られ、ロシア連邦の外国情報局(SVR)に所属していると評価されている。このサイバー諜報グループは、SolarWindsソフトウェアのサプライチェーン妥協に関連付けられた過去があり、近月ではMicrosoft、Hewlett Packard Enterprise(HPE)などの組織を標的にし、戦略的目的をさらに推進しようとしている。
SVRは、組織がシステムを近代化し、クラウドベースのインフラに移行するにつれて、これらの変化に適応している。その戦術には以下のものが含まれる:
– ブルートフォース攻撃やパスワードスプレー攻撃により、サービスアカウントや休眠アカウントを通じてクラウドインフラへのアクセスを取得し、オンプレミスネットワークのソフトウェア脆弱性を悪用することから離れる
– パスワードなしで被害者のアカウントにアクセスするためにトークンを使用する
– パスワードスプレー攻撃や資格情報の再利用技術を利用して個人アカウントの制御を握り、多要素認証(MFA)要件を迂回するためにプロンプト爆撃を使用し、その後自身のデバイスを登録してネットワークにアクセスする
– 悪意のある接続を通常のユーザーから区別しにくくするために、住宅用ブロードバンド顧客に使用されるISP範囲内のIPアドレスから発信されているように見せかけ、その真の起源を隠すために住宅用プロキシを利用する
クラウドインフラに移行した組織にとって、SVRのようなアクターに対する最初の防衛線は、初期アクセスのためのSVRのTTPsに対する保護であるべきである。SVRが初期アクセスを得ると、MagicWebのような高度な侵害後の能力を展開する能力がある。
【ニュース解説】
サイバーセキュリティおよび情報機関からなるFive Eyes(英米豪加NZの情報共有枠組み)は、ロシア政府支援の脅威アクターであるAPT29のクラウド攻撃戦術の進化に関する共同アドバイザリーを発表しました。APT29は、過去にSolarWindsソフトウェアのサプライチェーン妥協に関与したことで知られ、最近ではMicrosoftやHewlett Packard Enterprise(HPE)などを標的にしています。このグループは、組織がクラウドベースのインフラに移行するにつれて、その攻撃戦術を進化させています。
APT29の戦術の進化には、ブルートフォース攻撃やパスワードスプレー攻撃を用いてクラウドインフラへのアクセスを取得する方法、トークンを使用してパスワードなしでアカウントにアクセスする技術、多要素認証(MFA)を迂回するためのプロンプト爆撃や資格情報の再利用、そして住宅用プロキシを利用して悪意のある接続を通常のユーザーから区別しにくくする手法が含まれます。
このような進化する攻撃戦術は、クラウドインフラを採用する組織にとって新たなセキュリティ上の課題を提示します。初期アクセスを防ぐためには、サービスアカウントや休眠アカウントの管理、強力なパスワードポリシーの実施、多要素認証の適用などが重要です。また、APT29が初期アクセスを得た後に展開可能な高度な侵害後の能力、例えばMagicWebのようなツールを防ぐためには、ネットワークの監視と異常検知の強化が必要です。
このニュースは、国家支援のサイバー攻撃がいかに高度化しているかを示しており、国際的な協力による情報共有の重要性を強調しています。また、クラウドサービスの普及に伴い、セキュリティ対策も進化し続ける必要があることを示唆しています。ポジティブな側面としては、このような共同アドバイザリーが発表されることで、組織は最新の脅威に対する認識を高め、適切な対策を講じることができます。一方で、潜在的なリスクとしては、APT29のような高度な脅威アクターが常に新たな攻撃手法を開発しているため、セキュリティ対策が追いつかない可能性があります。
将来的には、クラウドサービスプロバイダーと利用者の間でセキュリティ責任の共有モデルがさらに強化され、攻撃を未然に防ぐための新たな技術や手法が開発されることが期待されます。また、国際的な規制や基準の策定が進むことで、サイバーセキュリティの向上に寄与する可能性があります。
from Five Eyes Agencies Expose APT29's Evolving Cloud Attack Tactics.
