ロシアのハッカーがAzureサービスを悪用してMicrosoft 365アカウントをハッキング

サイバーセキュリティ企業Mandiantの研究者は、国家支援のロシアのハッキンググループAPT29（別名Cozy BearまたはNobelium）が、米国およびNATO関連組織のMicrosoft 365アカウントを標的にして、機密データを盗むためのスパイ活動を行っていることを発見しました。

Mandiantは、少なくとも2014年からAPT29を追跡しており、ロシアのスパイグループが「新しい戦術を使用し、優れた運用セキュリティと回避を示す攻撃でMicrosoft 365を積極的に標的にしている」と指摘しています。

同社は、木曜日に発表した報告書でAPT29の新しい高度なTTP（戦術、技術、手順）のいくつかを強調しました。

脅威アクターにとって、最も厄介なログセキュリティ機能の1つは、Microsoft 365スイートの上位セキュリティ機能であるPurview Auditです。この機能はE5ライセンスおよび特定のアドオンで利用可能で、メールアイテムアクセス監査を有効にします。メールアイテムアクセス監査は、プログラム（Outlook、ブラウザ、Graph API）に関係なく、メールアイテムがアクセスされるたびにユーザーエージェント文字列、タイムスタンプ、IPアドレス、およびユーザーを記録します。

Mandiantは、APT29が侵害されたテナント内の標的アカウントでPurview Auditを無効にし、メール収集のために受信トレイを標的にすることができたことを観察しました。

「無効にされると、彼らはメール収集のために受信トレイを標的にし始めます。この時点で、脅威アクターがどのアカウントをメール収集のために標的にしたか、いつ標的にしたかを確認するためのログは組織にはありません。APT29の標的とTTPを考慮すると、MandiantはPurview Auditの無効化後にメール収集が最も可能性の高い活動であると考えています」とMandiantが発表した報告書には記載されています。

「私たちは、Microsoft 365の修復および強化戦略に関するホワイトペーパーを更新し、この技術に関する詳細や検出および修復のアドバイスを含めました。さらに、Azure AD Investigatorを更新し、高度な監査が無効になっているユーザーを報告する新しいモジュールを追加しました。」

研究者たちはまた、APT29がAzure Active Directory（AD）での多要素認証（MFA）の自己登録プロセスを利用する別の高度な新しい戦術を採用していることを発見しました。

この方法は、Azure ADのデフォルト設定で新しいMFA登録に対する厳格な強制がないことを悪用しており、ユーザー名とパスワードの知識を持つ者は、最初の人であればどの場所やデバイスからでもアカウントにアクセスしてMFAを登録できることを意味します。

「ある事例では、APT29は不明な手段で取得したメールボックスのリストに対してパスワード推測攻撃を実施しました。脅威アクターは、設定されたが使用されていないアカウントのパスワードを成功裏に推測しました。アカウントが休止状態だったため、Azure ADはAPT29にMFAに登録するよう促しました。登録後、APT29はそのアカウントを使用して、Azure ADを認証およびMFAに使用している組織のVPNインフラにアクセスすることができました」と報告書は続けています。

最後に、MandiantはAPT29がAzure仮想マシン（VM）を使用していることを観察しました。APT29が使用する仮想マシンは、被害者組織の外部にあるAzureサブスクリプションに存在します。脅威アクターグループがこれらのサブスクリプションを侵害したのか、購入したのかは不明です。

このグループは、悪意のある行動と無害な管理行動を混ぜ合わせて、彼らの軌道にいる可能性のある誰かを混乱させることも観察されています。

「例えば、最近の調査でAPT29はAzure ADのグローバル管理者アカウントにアクセスしました。彼らはそのアカウントを使用して、ApplicationImpersonation権限を持つサービスプリンシパルにバックドアを仕掛け、テナント内の標的メールボックスからメールを収集し始めました」と報告書は付け加えています。

追加された後、APT29はサービスプリンシパルとしてAzure ADに認証し、その役割を使用してメールを収集することができました。APT29は、バックドアを仕掛けたサービスプリンシパルの表示名と一致する共通名（CN）を持つ証明書を作成し、新しいアプリケーションアドレスURLを追加しました。

「APT29は、技術的なトレードクラフトと厳格な運用セキュリティへの献身を引き続き発展させています。Mandiantは、APT29がMicrosoft 365にアクセスするための技術と戦術の開発に遅れずについていくと予想しています」と報告書は結論づけています。