Source: https://www.darkreading.com/cyberattacks-data-breaches/amazon-apt29-credential-theft-campaign
🛡 概要
APT29は、ロシアの外部情報機関に関連する脅威グループとして知られています。最近、Amazonの脅威インテリジェンスサービスは、APT29が仕掛けた新たな認証情報窃盗キャンペーンを発見しました。このキャンペーンでは、正当なウェブサイトが侵害され、悪意のあるコードが注入され、ユーザーを偽のセキュリティ確認ページにリダイレクトする手法が使用されました。これにより、Microsoftのデバイス認証システムを悪用し、ユーザーアカウントへのアクセスを試みました。
🔍 技術詳細
最近の攻撃では、APT29は「ウォータリングホール攻撃」を利用しました。具体的には、複数の正当なウェブサイトが侵害され、JavaScriptが注入されました。このスクリプトは、訪問者を攻撃者が制御するドメインにリダイレクトしました。APT29は、訪問者の10%のみをリダイレクトするようにランダマイザーを使用し、同じユーザーが繰り返し悪意のあるドメインに誘導されないようにクッキーを設定しました。この手法は、デバイスコード認証攻撃とも呼ばれ、ユーザーがメールアドレスを入力するように促され、最終的には攻撃者がMicrosoftアカウントへのアクセスを得る結果となります。CVEやCVSSの情報は確認されていませんが、APT29の手法は進化を続けています。
⚠ 影響
APT29の攻撃は、政府機関や軍事組織、NGO、テクノロジー企業、シンクタンクに広範囲に影響を及ぼす可能性があります。特に、Microsoftアカウントへのアクセスが得られた場合、機密データの漏洩や、さらなる攻撃の足がかりとなる恐れがあります。APT29は、過去にも多くの組織に対して攻撃を行っており、その手法は巧妙で持続的です。このような攻撃が成功すると、被害者は長期間にわたって影響を受けることになります。
🛠 対策
AmazonのCISOであるCJ Mosesは、IT管理者に対してMicrosoftのデバイス認証フローに関するセキュリティガイダンスを見直し、必要がない場合はこの機能を無効にすることを推奨しています。また、デバイスのコンプライアンス、位置情報、リスク要因に基づいて認証を制限する条件付きアクセスポリシーを強制することも重要です。さらに、新しいデバイスに関する認証リクエストのログ記録と監視を強化することで、潜在的な脅威を早期に発見し、対処することが可能になります。
