脅威アクターが通信サービスプロバイダーを標的にし、検出時に防御方法を変更

最近の攻撃で、脅威アクターが通信サービスプロバイダーとビジネスプロセスアウトソーシング会社をハイジャックし、攻撃が検出された際に適用された防御緩和策を巧妙に変更しました。

これらの攻撃はCrowdStrikeによって発見され、2022年6月から続いており、現在も続いていると述べています。研究者たちはすでに5つの異なる侵入を特定しています。これらの攻撃は金銭的な動機によるもののようです。

CrowdStrikeの研究者たちは、これらの攻撃を低信頼度のScattered Spiderに関連付けており、アクセスを維持し、防御緩和策を変更し、検出を回避し、止められた場合には異なる有効なターゲットに切り替える持続性を示しています。

セキュリティ会社は、キャンペーンの主な目的は通信ネットワークシステムに侵入し、加入者の情報にアクセスし、SIMの交換などの他の活動を行うことだと述べています。

ハッカーは、通信スタッフを装ったり、SMSやTelegramのようなインスタントメッセージアプリを使用してターゲットをカスタムビルドのフィッシングウェブサイトに誘導するなど、さまざまなソーシャルエンジニアリング技術を適用して企業の通信に初期アクセスを得ます。

企業がMFA（多要素認証）を使用している場合、脅威攻撃者はプッシュ通知MFA疲労を展開します。これは、ハッカーが盗まれた資格情報を使用して何度もログインを試みるスクリプトを実行し、所有者の電話に無限のMFAプッシュリクエストの流れのように感じさせるものです。また、他のソーシャルエンジニアリング戦術も適用します。

読む: バーナーアカウントとは？役に立つのか？

さらに、ハッカーはあるケースでCVE-2021-35464を悪用してコードを実行し、AWSケースを利用して権限を引き上げました。脅威アクターは、感染したAWSトークンを使用してインスタンスロールの権限を要求し、引き受けるとセキュリティ会社は述べています。

さらに、ハッカーがシステムにアクセスを得ると、妥協したユーザーアカウントを使用して信頼されたMFAリストにデバイスを追加しようとします。

CrowdStrikeは、ハッカーがキャンペーンのために以下のリモート監視メカニズムと管理ツールを使用していることも発見しました。

BeAnywhere  
Domotz  
DWservice  
Fixme.it  
AnyDesk  
Fleetdesk.io  
Itarian Endpoint Manager.  
Level.io  
ManageEngine   
N-Able  
Rport  
ScreenConnect  
Teamviewer  
TrendMicro Basecamp  
ZeroTier  
Pulseway  
Rsocx  
Logmein  
SSH RevShellとRDPトンネリングをSSH経由で  
Sorillus

これらのほとんどは企業が使用する信頼されたソフトウェアであり、セキュリティソフトウェアからアラートを出す可能性は低いです。さらに、セキュリティ会社によって確認された侵入は、ハッカーが検出された後も侵入したネットワークへのアクセスを維持しようとする試みが激化したことを示しています。

さらに、他の2つの観察では、脅威アクターがより活発になり、これらの緩和策が徐々に適用される場合にはVPN（仮想プライベートネットワーク）アクセスやRMMツールなどの持続性手法を展開したようです。

他のいくつかの事例では、敵は被害者組織によって以前に無効にされたアカウントを再度有効にするという深刻な手法に戻りました。

CrowdStrikeはさらに、脅威アクターがさまざまなVPNやISPを使用して被害者の組織のGoogle Workspace環境にアクセスし、敵がさまざまな種類のスパイ情報を取得し、妥協したテナントからユーザーリストをダウンロードし、WMIおよびSSHトンネリングとドメイン複製を悪用したと付け加えました。

読む: A37グループのドルフィンマルウェアがデータを盗み、韓国の新聞を標的にする