セキュリティ

Windowsのソースコードを盗み出したハッカー集団の手口と無料対策ツールが公開される


2020年12月にハッカー集団の「UNC2452」が多数の政府機関に対して大規模なサイバー攻撃を仕掛けたことが発覚しました。さらに、このサイバー攻撃によって盗み出されたとされるWindowsのソースコードが売りに出されており、社会に大きな影響を与えています。このUNC2452による攻撃の詳細な手法について、大手セキュリティ企業のFireEyeが解説し、対策ツールを無料公開しています。

Remediation and Hardening Strategies for Microsoft 365 to Defend Against UNC2452 | FireEye Inc
https://www.fireeye.com/blog/threat-research/2021/01/remediation-and-hardening-strategies-for-microsoft-365-to-defend-against-unc2452.html

GitHub - fireeye/Mandiant-Azure-AD-Investigator
https://github.com/fireeye/Mandiant-Azure-AD-Investigator

UNC2452によるサイバー攻撃は、SolarWindsが配布したOrion Platformのソフトウェアアップデートを改ざんすることで行われました。このソフトウェアアップデートは1万8000以上の企業および政府機関に配布されており、アメリカの財務省・国務省・国立衛生研究所などの省庁に加え、MicrosoftやCisco Systemsなどの企業も被害を受けたことが報じられています。さらに、この攻撃によって盗み出されたとされるWindowsのソースコードが、6200万円で売りに出されていることが発覚しており、Microsoftのブラッド・スミス社長は「過去10年に見た中で最も深刻なサイバー攻撃の1つ」と事態を重く受け止めています。

Windowsのソースコードが6200万円で売りに出されていることが発覚 - GIGAZINE


UNC2452のサイバー攻撃について調査を進めていたFireEyeにより、Orion Platformのソフトウェアアップデートに仕込まれていたのは「SUNBURST」と呼ばれるトロイの木馬であることも判明しています。さらに、改ざんされたソフトウェアアップデートにはSolarWindsによる正規のデジタル署名が含まれており、改ざんが行われた2020年の3月から約9カ月間、誰にも気付かれることなくUNC2452によるサイバー攻撃が続けられました。

世界中の政府機関や企業の機密情報を傍受したハッカーグループ「UCN2452」の手口が明らかに - GIGAZINE


FireEyeが公開した最新の調査報告により、UCN2452は攻撃対象者に感染させたマルウェアを用いて、Active Directoryのトークン署名証明書を盗みだし、任意のユーザーのトークンを偽造することが明らかになっています。このトークンにより、UCN2452はMicrosoft 365などのアプリケーションに多要素認証を必要とせず、任意のユーザーとしてアプリケーションにログインできるとのこと。さらに、UCN2452はAzure Active Directoryに信頼されたドメインを追加することで、UCN2452が制御できるIdPを追加します。

これにより、UCN2452は任意のユーザーとして電子メールの送受信やファイルの転送・実行などさまざまな操作を行えるようになります。また、攻撃者は承認されたユーザーとして認識されているため、攻撃の検出は非常に困難です。


上記のように、UCN2452による攻撃は正当なユーザーの行動か攻撃者の行動か判別しにくいため、攻撃を受けているかどうかの判別が困難です。そこで、FireEyeはUCN2452で利用されているいくつかの行動パターンを検証することで、UCN2452の攻撃を検出するアプリケーションを開発し、GitHubで無料公開しています。

GitHub - fireeye/Mandiant-Azure-AD-Investigator
https://github.com/fireeye/Mandiant-Azure-AD-Investigator

この記事のタイトルとURLをコピーする

・関連記事
世界中の政府機関や企業の機密情報を傍受したハッカーグループ「UCN2452」の手口が明らかに - GIGAZINE

Windowsのソースコードが6200万円で売りに出されていることが発覚 - GIGAZINE

Microsoft社長が「過去10年で最も深刻なサイバー攻撃の1つ」と語るSolarWindsの「Orion Platform」に対する攻撃とは? - GIGAZINE

Microsoftが大規模な政府機関へのハッキング問題に対応して攻撃に使われるドメインの押収などを実施 - GIGAZINE

ロシア政府の支援を受けるハッカーがアメリカ政府機関をハッキングしてメール内容などを監視していたことが判明 - GIGAZINE

大規模な政府機関へのサイバー攻撃についてアメリカ政府が公式声明でロシアを非難 - GIGAZINE

政府機関への大規模サイバー攻撃が核兵器関連の組織やMicrosoftにも迫っていたことが判明 - GIGAZINE

ロシア政府関与がささやかれるハッカー集団が新型コロナウイルスワクチンの研究組織をハッキングしているという報告 - GIGAZINE

「ロシア情報局のハッカーグループがサイバー攻撃を仕掛けてきている」とアメリカ国家安全保障局が公式に警告 - GIGAZINE

in ソフトウェア,   セキュリティ, Posted by log1o_hf

You can read the machine translated English article here.