« 中国 互联网信息服务管理办法(インターネット情報サービスの運営に関する措置)の改訂案について意見募集中 | Main | オーストラリア サイバーセキュリティセンター (ACSC) がサプライチェーンに関連する「サイバーセキュリティ・リスク管理ガイダンス」と「サイバーセキュリティ・リスク特定ガイダンス」を公表していますね。。。 »

2021.01.10

CISA アラート Microsoftクラウド環境下での侵害後の脅威アクティビティの検出

こんにちは、丸山満彦です。

SolarWinds Orion関係についてCISAから追加のアラート(AA21-008A)が出ていますね。 2020.12.17にでたアラート (AA20-352A) の補足という位置付けのようですね。

CISA

・2021.01.08 Alert (AA21-008A) Detecting Post-Compromise Threat Activity in Microsoft Cloud Environments

「Microsoftクラウド環境下での侵害後の脅威アクティビティの検出」という感じですね。かなり詳細な記述となっています。。。

・2020.12.17 Alert (AA20-352A) Advanced Persistent Threat Compromise of Government Agencies, Critical Infrastructure, and Private Sector Organizations

「政府機関、重要インフラ、民間セクターへの高度な持続的脅威の侵害」の補足という位置付けのようですね。。。

Summaryの仮訳です。。。


概要

このアラートは、「AA20-352A: 政府機関、重要インフラ、および民間セクター組織の高度な永続的脅威の侵害」に付随するアラートです。AA20-352Aは、米国政府機関、重要インフラ、および民間セクター組織のネットワークへの最初のアクセスベクターとして、APTアクターがSolarWinds Orion製品を侵害したことに主に焦点を当てています。AA20-352Aに記載されているように、CISAは、侵害されたSolarWinds Orion製品に加えて、初期アクセスベクターの証拠を持っています。

一方、このアラートでは、CISAがAPTアクターと判断した最初のアクセス・ベクターとは関係なく、アクティビティにも対応しています。具体的には、被害者のMicrosoft 365 (M365)/Azure環境で、APTアクターが侵害されたアプリケーションを使用していることを確認しています。また、このAPTアクターが、追加の資格情報とAPIを利用して、民間および公共機関のクラウド・リソースへのアクセスを行っていることも確認しています。これらの戦術、技術、手順(TTP)は、3つの重要な要素を特徴としています。

  • 連携した ID ソリューションを危うくしたり、迂回したりする。
  • 偽造された認証トークンを使用して、Microsoft のクラウド環境に横方向に移動する。
  • 被害者のクラウド環境への特権アクセスを使用して、検出が困難なAPIベースのアクセスのための永続化メカニズムを確立する。

このアラートでは、これらの TTP について説明し、ネットワーク防御者が Microsoft Azure Active Directory (AD)、Office 365 (O365)、および M365 環境を分析して潜在的な悪意のある活動を検出するための CISA 開発ツール Sparrow など、利用可能なオープンソースのツールの概要とガイダンスを提供しています。


 


■ 参考

● まるちゃんの情報セキュリティ気まぐれ日記

・2021.01.07 米国 FBI,、CISA,、国家情報長官室(ODNI)、国家安全保障局(NSA)がSolar Winds関連事案に関して共同声明を公表していますね。

・2021.01.01 U.S. CISAが、攻撃者がSolarWinds Orionのソフトウェアのサプライチェーンを侵害し一般的に使用されている認証メカニズムを広範囲に悪用しているとして、ウェブサイトを立ち上げ、無料の検証ツールを提供していますね。。。

・2020.12.19 米国国土安全保障省 緊急指令21-01 関連。。。SolarWinds Orion Code Compromise

|

« 中国 互联网信息服务管理办法(インターネット情報サービスの運営に関する措置)の改訂案について意見募集中 | Main | オーストラリア サイバーセキュリティセンター (ACSC) がサプライチェーンに関連する「サイバーセキュリティ・リスク管理ガイダンス」と「サイバーセキュリティ・リスク特定ガイダンス」を公表していますね。。。 »

Comments

Post a comment



(Not displayed with comment.)


Comments are moderated, and will not appear on this weblog until the author has approved them.



« 中国 互联网信息服务管理办法(インターネット情報サービスの運営に関する措置)の改訂案について意見募集中 | Main | オーストラリア サイバーセキュリティセンター (ACSC) がサプライチェーンに関連する「サイバーセキュリティ・リスク管理ガイダンス」と「サイバーセキュリティ・リスク特定ガイダンス」を公表していますね。。。 »