search
ja日本語
banner
ホームページ / ニュース / ロシアのサイバースパイがマイクロソフトの番号を破る
ニュース
pageSearch
最新ニュース

ロシアのサイバースパイがマイクロソフトの番号を破る

Jun 25, 2023Jun 25, 2023

Midnight Blizzard の高度な持続的脅威グループによるスピア フィッシング攻撃は、中小企業の Microsoft 365 テナントを標的としていました。

APT29 として知られるロシアの国営サイバースパイ集団は、番号照合に依存する Microsoft の 2 要素認証 (2FA) プッシュ通知方法を無効にするために、Microsoft Teams 上で偽のセキュリティ メッセージを使用する組織に対してフィッシング攻撃を開始しています。 Microsoftは報告書の中で、「当社の現在の調査では、このキャンペーンが影響を及ぼした世界規模の組織は40未満であることが示されている」と述べた。 「この活動の標的となった組織は、政府、非政府組織(NGO)、ITサービス、テクノロジー、ディスクリート製造、メディア部門に向けられたMidnight Blizzardによる特定のスパイ活動目的を示している可能性が高い。」

Midnight Blizzard は、Microsoft が APT29 に新たに指定した名前です。APT29 は、長年にわたって活動しており、米国と英国の政府によって、ロシアの対外諜報機関である SVR のハッキング部門であると考えられています。 セキュリティ業界では Cozy Bear または NOBELIUM としても知られる APT29 は、世界中の何千もの組織に影響を与えた 2020 年の SolarWinds ソフトウェア サプライ チェーン攻撃の背後にありましたが、世界中の多くの政府機関、外交使節、軍需産業基地企業に対する攻撃にも関与していました。長年にわたる世界。

APT29 は、ゼロデイ エクスプロイト、クラウド環境内のさまざまなエンティティ間の信頼関係の悪用、人気サービスのフィッシングメールや Web ページの展開、パスワード スプレーやブルート フォース攻撃など、さまざまな方法を使用してシステムやネットワークにアクセスします。 、悪意のある電子メールの添付ファイルや Web ダウンロードを介して。

Microsoft によって検出された最新のスピア フィッシング攻撃は 5 月に始まり、最初は中小企業に属する Microsoft 365 テナントのハイジャックにつながった、大規模な資格情報侵害キャンペーンの一部であった可能性があります。 Microsoft 365 テナントは、一般的に信頼されている onmicrosoft.com ドメインのサブドメインを取得するため、攻撃者は、ハイジャックされたテナントの名前を変更して、ソーシャル エンジニアリング攻撃の次のステップに信頼性を与えるために、セキュリティおよび製品関連の名前を持つサブドメインを作成しました。

2 番目のステップでは、すでに資格情報を取得しているか、パスワードなしの認証ポリシーが有効になっている他の組織のアカウントをターゲットにする必要がありました。 これらのアカウント タイプはどちらも、Microsoft が番号照合プッシュ通知と呼ぶものによる多要素認証を有効にしています。

2FA プッシュ通知方法では、ユーザーはログイン試行を承認するために、アプリを通じてモバイル デバイスで通知を受け取ります。 これは多くの Web サイトで一般的な実装ですが、攻撃者は 2FA または MFA 疲労として知られるものでこれを悪用し始めました。この攻撃戦術では、認証情報が盗まれたユーザーに、システムが誤動作していると思われるまで継続的にプッシュ認証リクエストをスパム送信して、それを受け入れるか、さらに悪いことに、このオプションを有効にしているユーザーに対して、深夜に 2FA 通話をスパム送信することになります。

2FA を実装するもう 1 つの一般的な方法は、ユーザーの携帯電話上の認証アプリによって生成されたコードを Web サイトに要求させることです。 ただし、攻撃者は、ユーザーと標的の Web サイトまたはサービスの間でリバース プロキシとして機能するフィッシング ページを実装することで、この方法を回避する方法も見つけました。

この種の攻撃に対応して、Microsoft は、Microsoft Web サイトがユーザーのモバイル デバイス上の Microsoft Authenticator アプリにプッシュ通知を送信し、アプリ内でユーザーに番号の入力を求める別の 2FA 方式を実装しました。 この番号は、認証プロセス中に Web サイトによって表示されます。 この方法は番号照合と呼ばれ、5 月 8 日以降、すべての Microsoft Authenticator プッシュ通知の既定の方法になりました。

攻撃者がユーザーの盗んだ資格情報を使用して認証しようとすると、ユーザーは Microsoft Authenticator アプリで 2FA プロセスを完了するための番号を入力するように求められますが、Web サイトに表示される番号は自分のものではないため、ユーザーは知りません。ブラウザで認証を開始した人。 そこで APT29 は、この新たな課題を克服するために着手しました。

前: デルレイビーチのスーツケース殺人事件:妻殺害で夫を逮捕 次: 小規模バイオテクノロジー企業がステルス遺伝子編集ミッションを終了、売却を模索
お問い合わせを送信
送信