Proofpoint Cloud Securityグループのリサーチャーは、2022年2月22日以降、ロシア系のインフラを発信元とする、組織に対する広範なクラウドアカウントへの分散型クレデンシャル攻撃を発見しました。本ブログ記事では、お客様のクラウドアプリを標的とした非常に活発な攻撃キャンペーンと、クラウドのリスクを保護する方法について説明します。
攻撃プロファイルと攻撃例
2022年2月28日現在、監視している728のクラウド環境において、4340のユーザーアカウントを標的とした約78000件の分散型クレデンシャル攻撃(ブルートフォースまたはパスワードスプレーの試行)を観測しています。標的となった組織の85%以上は米国に拠点を置き、残りはその他の欧米諸国に拠点のある組織です。攻撃の大部分は、ロシアの特定ソース(ロシアにあるIPアドレスとDCHサービス)から、または主に米国にあるロシアのホスティングサービスに関連するサーバーから発信されています。プルーフポイントの評価では、不正アクセスは、アカウントの乗っ取り、特権の昇格、ラテラルムーブメント、データの流出への扉を開く可能性があります。
以下のスクリーンショットは、プルーフポイントが観測した多くの攻撃のうちの1つを示しています。プルーフポイントは、分散型クレデンシャル攻撃の種類の特定、ユーザーの行動分析、および過去に激しく狙われたユーザー(このユーザーはVAP(Very Attacked Person)とプルーフポイントでは定義しています)に基づいて、このユーザーに対する脅威を検出しました。このケースでは、そのアカウントを持つ実際のユーザーはホスト名 "mastercommunications.ru" とデータ ホスティング センター (DCH) プロキシを使用して、組織の Office 365 アカウントにログインしようとしたことはありません。プルーフポイントの脅威インテリジェンスは、これがこの攻撃グループの典型的な例であると認識しています。
スクリーンショット:分散型クレデンシャル攻撃による不審なログイン試行を検知したProofpoint CASBの情報・クラウドセキュリティプラットフォーム
攻撃の対象業種、その他のテクニカル分析
主な標的は様々で、全攻撃の11%以上を占める業種はありません。最も標的とされた上位5業種は、製造業、金融サービス、ヘルスケア、ビジネスサービス、建設業で、全攻撃の44%を占めています。
図:2022年2月22日~2月28日の対象業種別に攻撃された分散型クレデンシャル攻撃(プルーフポイントのセキュリティ調査分析結果)
この攻撃キャンペーンの興味深い特徴は以下の通りです:
- ユーザーエージェント(UA)文字列で、「14 Windows Mobile - Tablet Very common」という珍しい文字列を見かけました。これまで、単独の文字列として、あるいは長いUA文字列の末尾に付加された形で確認されています。このUA文字列は、このキャンペーンに特有のもので、意図的でない可能性があります。
- 攻撃はユーザー名のアルファベット順に行われますが、これは使用される分散型クレデンシャル攻撃のツールキットの特徴である可能性があります。
- 悪意のあるターゲティングの試みは分散化されており、複数のホスティングサービスと運用資産が同時にユーザーアカウントの侵害を試みています。
クラウドセキュリティのベストプラクティスでクラウドアカウントを保護する
- この攻撃キャンペーンが有効な間は、以下のIOCからのトラフィックはすべて疑わしいものとして扱う
- 疑わしいログインがないか、組織のすべてのクラウドアカウントを監視し、極めて疑わしいログインは直ちに修正する
- 疑わしい場所からのクラウドトラフィックを信頼できるウェブインフラ(IPアドレス、ISPホスト)に限定する
- クラウドサービス、特にWeb、顧客、パートナー向けのアプリケーションでは、多要素認証を使用する
- DLP ポリシーを設定し、管理されていないデバイスへの機密データの流出を特定する
- サードパーティの OAuth アプリ、クラウド メール、クラウド サーバーに対する不審な設定変更を監視する
IoC(Indicators of Compromise / 侵害の痕跡)のサマリ:
|
ISP / Proxy Service |
Associated Domain |
IP Address |
|
Address Management Inc. |
clouvider.co.uk |
103.151.103.243 |
|
Admin LLC |
cadmin.ru |
213.139.193.38 |
|
Auction LLC |
dauction.ru |
45.87.124.155 |
|
B2 Net Solutions Inc. |
servermania.com |
23.229.53.52 |
|
23.229.53.63 |
||
|
23.229.67.247 |
||
|
23.229.67.248 |
||
|
23.229.79.18 |
||
|
23.229.79.24 |
||
|
23.229.79.25 |
||
|
23.229.79.28 |
||
|
LIR LLC |
lir.am |
103.152.17.248 |
|
Mastercom LLC |
mastercommunications.ru |
109.94.218.192 |
|
193.58.177.124 |
||
|
OVH US LLC |
ovh.com |
51.81.45.12 |
|
51.81.45.128 |
||
|
Proline IT Ltd |
selectel.ru |
176.53.133.249 |
|
193.160.216.60 |
||
|
193.160.217.66 |
||
|
77.83.4.102 |
||
|
77.83.5.161 |
||
|
Qwarta LLC |
qwarta.ru |
193.232.144.116 |
|
194.190.112.167 |
||
|
194.190.179.10 |
||
|
194.190.190.64 |
||
|
194.190.90.41 |
||
|
194.190.91.222 |
||
|
194.226.185.120 |
||
|
195.19.209.226 |
||
|
212.193.136.39 |
||
|
212.193.137.253 |
||
|
212.193.140.208 |
||
|
212.193.143.60 |
||
|
62.76.147.174 |
||
|
62.76.153.235 |
観測されたユーザーエージェントの詳細についての更新はこちらのブログで更新されます。
※本ブログの情報は、英語による原文「Cloud Credential Compromise Campaign Originating from Russian-Affiliated Infrastructure」の翻訳です。英語原文との間で内容の齟齬がある場合には、英語原文が優先します。