CISA アラート Microsoftクラウド環境下での侵害後の脅威アクティビティの検出
こんにちは、丸山満彦です。
SolarWinds Orion関係についてCISAから追加のアラート(AA21-008A)が出ていますね。 2020.12.17にでたアラート (AA20-352A) の補足という位置付けのようですね。
● CISA
・2021.01.08 Alert (AA21-008A) Detecting Post-Compromise Threat Activity in Microsoft Cloud Environments
「Microsoftクラウド環境下での侵害後の脅威アクティビティの検出」という感じですね。かなり詳細な記述となっています。。。
「政府機関、重要インフラ、民間セクターへの高度な持続的脅威の侵害」の補足という位置付けのようですね。。。
Summaryの仮訳です。。。
概要
このアラートは、「AA20-352A: 政府機関、重要インフラ、および民間セクター組織の高度な永続的脅威の侵害」に付随するアラートです。AA20-352Aは、米国政府機関、重要インフラ、および民間セクター組織のネットワークへの最初のアクセスベクターとして、APTアクターがSolarWinds Orion製品を侵害したことに主に焦点を当てています。AA20-352Aに記載されているように、CISAは、侵害されたSolarWinds Orion製品に加えて、初期アクセスベクターの証拠を持っています。
一方、このアラートでは、CISAがAPTアクターと判断した最初のアクセス・ベクターとは関係なく、アクティビティにも対応しています。具体的には、被害者のMicrosoft 365 (M365)/Azure環境で、APTアクターが侵害されたアプリケーションを使用していることを確認しています。また、このAPTアクターが、追加の資格情報とAPIを利用して、民間および公共機関のクラウド・リソースへのアクセスを行っていることも確認しています。これらの戦術、技術、手順(TTP)は、3つの重要な要素を特徴としています。
- 連携した ID ソリューションを危うくしたり、迂回したりする。
- 偽造された認証トークンを使用して、Microsoft のクラウド環境に横方向に移動する。
- 被害者のクラウド環境への特権アクセスを使用して、検出が困難なAPIベースのアクセスのための永続化メカニズムを確立する。
このアラートでは、これらの TTP について説明し、ネットワーク防御者が Microsoft Azure Active Directory (AD)、Office 365 (O365)、および M365 環境を分析して潜在的な悪意のある活動を検出するための CISA 開発ツール Sparrow など、利用可能なオープンソースのツールの概要とガイダンスを提供しています。
■ 参考
● まるちゃんの情報セキュリティ気まぐれ日記
・2021.01.07 米国 FBI,、CISA,、国家情報長官室(ODNI)、国家安全保障局(NSA)がSolar Winds関連事案に関して共同声明を公表していますね。
・2020.12.19 米国国土安全保障省 緊急指令21-01 関連。。。SolarWinds Orion Code Compromise
« 中国 互联网信息服务管理办法(インターネット情報サービスの運営に関する措置)の改訂案について意見募集中 | Main | オーストラリア サイバーセキュリティセンター (ACSC) がサプライチェーンに関連する「サイバーセキュリティ・リスク管理ガイダンス」と「サイバーセキュリティ・リスク特定ガイダンス」を公表していますね。。。 »
Comments