APT29 は、Mandiant が少なくとも 2014 年から追跡しているロシアのサイバースパイ集団で、外国情報局(SVR)がスポンサーとなっている可能性が考えられます。Mandiant は、米国(US)、および NATO やパートナー国の関心事項を標的とした APT29 の活動を確認し続けており、複数の APT29 の攻撃活動がすでに公表されているにもかかわらず、極めて大規模な活動を続けています。2022 年、APT29 は、NATO諸国の外交政策に影響を与え、策定する責任を負う組織に焦点を当てました。これには、APT29 が数年前、時には数カ月前に侵害した被害組織を再び攻撃対象とする事例が複数含まれています。このような粘り強さと積極性は、これらの情報に対する持続的な関心と、ロシア政府による徹底的な任務の遂行を示すものです。
Mandiant は、APT29 が Microsoft 365 を標的とし、卓越した運用セキュリティと高度な戦術を実証し続けていることを確認しています。ここでは、APT29 が最近の活動で使用したいくつかの新しい TTP を紹介します。
●ライセンスの無効化
Microsoft 365 では、さまざまなライセンスモデルを使用して、個々のユーザーの Microsoft 365 製品群のサービスへのアクセスを制御しています。また、ライセンスによって、ログの保持や Purview Audit でのメールアイテムアクセスのログ取得など、セキュリティやコンプライアンスに関する設定を行うことができます。最も一般的なライセンスは E1、E3、E5 ですが、他にも様々なライセンスプランと粒度の細かいアドオンがあり、M365 のライセンスは複雑になっています。
攻撃者にとって、最も厄介なロギング機能の 1 つが、Purview Audit(旧Advanced Audit)です。この機能は、E5ライセンスと特定のアドオンで利用可能で、Mail Items Accessed の監査が可能です。Mail Items Accessed は、メールアイテムにアクセスするたびに、ユーザーエージェント文字列、タイムスタンプ、IPアドレス、およびユーザーを記録します。この監査では、Graph API、Outlook、ブラウザ、またはその他の方法の、あらゆるタイプのメールアクセスが記録されます。これは、攻撃者が特定のメールボックスにアクセスしているかどうか、またその影響の範囲を特定するための重要なログソースとなります。さらに、攻撃者が Application Impersonation ("なりすまし") や Graph API のような技術を使用している場合、特定のメールボックスへのアクセスを効果的に判断する唯一の方法となります。
Mandiant は、APT29 が侵害されたテナント内のターゲットアカウントで Purview Audit を無効化することを確認しています。いったん無効にすると、彼らはメール収集のために受信箱をターゲットにし始めます。この時点において、攻撃者がどのアカウントをいつメール収集のターゲットにしたかを確認するためのログは存在しません。APT29 のターゲットと TTP を考慮すると、Purview Audit が無効化された後、電子メールの収集が最も可能性の高い活動であると Mandiant は考えています。私たちは、ホワイトペーパー「Remediation and Hardening Strategies for Microsoft 365」を更新し、この手法に関する詳細と、検出および修復に関するアドバイスを記載しました。さらに、Azure AD Investigator を更新し、高度な監査が無効になっているユーザーについてレポートするための新しいモジュールを追加しました。
●MFAによる休眠アカウントの乗っ取り
多要素認証(MFA)は、攻撃者によるアカウント乗っ取りを阻止するために、組織が導入できる重要なツールです。ユーザーが知っている情報と持っている情報の両方を提供することを義務付けることで、企業はアカウント侵害のリスクを大幅に減らすことができます。しかし、MFA そのものは特効薬ではありません。Mandiant は以前、攻撃者がプッシュ型MFA を悪用して、ユーザーが最終的にプロンプトを受け入れ、攻撃者にアクセスを許可するまで通知でスパムを送る方法について説明しました。Microsoft は最近、この問題に対処するため、番号照合による MFAプッシュ通知を展開すると発表しました。
Mandiant は、APT29 を含む攻撃者が、Azure Active Directory やその他のプラットフォームにおける MFA の自己登録プロセスを利用するという別の傾向も観察し始めています。組織が初めて MFA を導入する場合、ほとんどのプラットフォームでは、ユーザーが次回のログイン時に最初の MFAデバイスを登録することができます。これは、組織が MFA を展開する際にしばしば選択されるワークフローです。Azure AD や他のプラットフォームのデフォルト構成では、MFA登録プロセスに対する追加の強制はありません。つまり、ユーザー名とパスワードを知っている人であれば、最初に登録する人である限り、どんな場所、どんなデバイスからでもアカウントにアクセスして MFA を登録することができるのです。
ある事例では、APT29 は、未知の手段で入手したメールボックスのリストに対してパスワード推測攻撃を実施しました。攻撃者は、設定されたものの、一度も使用されていないアカウントのパスワードを推測することに成功しました。このアカウントは休眠状態だったため、Azure AD は APT29 に MFA に登録するよう促しました。登録後、APT29 はこのアカウントを使用して、認証と MFA に Azure AD を使用している組織の VPNインフラストラクチャにアクセスすることができました。Mandiant は、すべてのアクティブなアカウントに少なくとも 1 つの MFAデバイスが登録されていることを確認し、プラットフォームベンダーと協力して MFA登録プロセスに追加の検証を追加することを推奨しています。Microsoft Azure AD は最近、組織が MFAデバイスの登録などの特定のアクションに関する制御を実施できるようにするための機能を展開しました。条件付きアクセスを使用すると、組織は、内部ネットワークなどの信頼できる場所や信頼できるデバイスにのみ MFAデバイスの登録を制限することができます。また、MFA を登録するために MFA を要求することもできます。このような鶏と卵のような状況に陥るのを避けるために、ヘルプデスクの担当者は、社員の入社時や MFAデバイスを紛失した際には、一時的なアクセスパスを発行することができます。このパスは、ログイン、MFA のバイパス、新しい MFAデバイスの登録に期間限定で使用することができます。
●運用セキュリティに注力
APT29 は、これまで同様、卓越した運用セキュリティと検知回避における優れた能力を実証しています。APT29 は、被害組織へのラストワンマイルアクセスを難解にするためのレジデンシャルプロキシに加え、Azure仮想マシンを利用していることが確認されています。APT29 が使用する仮想マシンは、被害組織の外にある Azureサブスクリプションに存在します。Mandiant は、これらのサブスクリプションが APT29 によって侵害または購入されたものであるかどうかを把握していません。信頼できる Microsoft の IPアドレスからラストマイルでアクセスすることで、検知される可能性が低くなります。Microsoft 365自体は Azure上で動作しているため、Azure AD Sign-In および Unified Audit Logs にはすでに多くの Microsoft IPアドレスが含まれており、IPアドレスが悪意のある VM に属しているか、バックエンドの M365サービスに属しているかを迅速に判断することは難しい場合があります。Mandiant の観察によると、Microsoft が所有する IPアドレスは、Microsoft の危険なサインインや危険なユーザーのレポートによる検出のリスクを大幅に低減しているようです。
また、Mandiant は、APT29 の悪意のある行為に正常な管理行為が混在していることを確認しています。例えば、最近の調査では、APT29 は Azure AD のグローバル管理者アカウントへのアクセスを取得しました。このアカウントを使って、ApplicationImpersonation権限を持つサービスプリンシパルをバックドアし、テナント内の標的型メールボックスからメールの収集を開始しました。これを実現するために、APT29 は新しい証明書(キークレデンシャル)をサービスプリンシパルに追加しました。追加すると、APT29 はサービスプリンシパルとして Azure AD に認証され、そのロールを使用してメールを収集できるようになりました。APT29 は、バックドアされたサービスプリンシパルの表示名と一致するコモンネーム(CN)を持つ証明書を作成し、その中に紛れ込ませました。さらに、このサービスプリンシパルに新しいアプリケーションアドレスの URL を追加しました。追加されたアドレスは、悪意のある活動を促進するために必要ない、完全に正常なものであり、ベンダーによって文書化されたアプリケーションの機能に関連するものでした。この行為は、APT29 の極めて高度な準備と、自分たちの行為を正規のものと見せかけようとする能力の高さを示しています。
●今後の展望
APT29 は、その技術的な巧みさと徹底した運用セキュリティへの取り組みを発展させ続けています。Mandiant は、APT29 が斬新かつステルス的な方法で Microsoft 365 にアクセスするための技術や戦術の開発に拍車をかけると予測しています。
※本ブログは、2022 年 8 月 18 日に公開されたブログ「You Can’t Audit Me: APT29 Continues Targeting Microsoft 365」の日本語抄訳版です。
