Five eyes ロシア対外情報庁による攻撃手法。時代はクラウドですからね...
こんにちは、丸山満彦です。
Five Eyesの関連機関が、ロシア対外情報庁による攻撃手法についてのアラートを公表していますね...
英国
● National Cyber Security Centre
・2024.02.26 SVR cyber actors adapt tactics for initial cloud access
・[PDF]
SVR cyber actors adapt tactics for initial cloud access | SVRサイバーアクターはクラウドへの初期アクセスに戦術を適応させる |
How SVR-attributed actors are adapting to the move of government and corporations to cloud infrastructure | 政府や企業のクラウドインフラへの移行に、SVRのサイバー攻撃者はどのように適応しているのか。 |
Overview | 概要 |
This advisory details recent tactics, techniques and procedures (TTPs) of the group commonly known as APT29, also known as Midnight Blizzard, the Dukes or Cozy Bear. | 本アドバイザリでは、Midnight Blizzard、Dukes、Cozy Bearとしても知られる通称APT29の最近の戦術、技術、手順(TTP)について詳述する。 |
The UK National Cyber Security Centre (NCSC) and international partners assess that APT29 is a cyber espionage group, almost certainly part of the SVR, an element of the Russian intelligence services. The US National Security Agency (NSA), the US Cybersecurity and Infrastructure Security Agency (CISA), the US Cyber National Mission Force (CNMF), the Federal Bureau of Investigation (FBI), Australian Signals Directorate’s Australian Cyber Security Centre (ASD’s ACSC), the Canadian Centre for Cyber Security (CCCS) and the New Zealand National Cyber Security Centre (NCSC) agree with this attribution and the details provided in this advisory. | 英国国家サイバーセキュリティセンター(NCSC)と国際的なパートナーは、APT29 はサイバースパイグループであり、ロシア情報機関の一部門である SVR の一部であることはほぼ間違いないと評価している。米国国家安全保障局(NSA)、米国サイバーセキュリティ・インフラセキュリティ庁(CISA)、米国サイバー国家任務部隊(CNMF)、連邦捜査局(FBI)、オーストラリア信号総局のオーストラリア・サイバーセキュリティセンター(ASD's ACSC)、カナダ・サイバーセキュリティセンター(CCCS)、ニュージーランド国家サイバーセキュリティセンター(NCSC)は、この帰属と本アドバイザリで提供する詳細に同意している。 |
This advisory provides an overview of TTPs deployed by the actor to gain initial access into the cloud environment and includes advice to detect and mitigate this activity. | このアドバイザリでは、クラウド環境に最初にアクセスするために行為者によって展開されたTTPの概要を提供し、この活動を検知し軽減するためのアドバイスを含む。 |
Previous actor activity | これまでの行為者の活動 |
The NCSC has previously detailed how Russian Foreign Intelligence Service (SVR) cyber actors have targeted governmental, think tank, healthcare and energy targets for intelligence gain. It has now observed SVR actors expanding their targeting to include aviation, education, law enforcement, local and state councils, government financial departments and military organisations. | NCSCは以前、ロシア対外情報庁(SVR)のサイバー行為者が、政府機関、シンクタンク、ヘルスケア、エネルギーの標的を情報収集のためにどのように狙っているかについて詳述した。今回NCSCは、ロシア対外情報庁のサイバー攻撃者がその標的を航空、教育、法執行機関、地方議会、州議会、政府財務局、軍事組織にまで拡大していることを確認した。 |
SVR actors are also known for: | SVRの活動家はまた、次のようなことでも知られている: |
• the supply chain compromise of SolarWinds software | ・ソーラーウィンズ社製ソフトウェアのサプライチェーン侵害 |
• activity that targeted organisations developing the COVID-19 vaccine | ・COVID-19ワクチン開発組織を標的にした活動 |
Evolving TTPs | 進化するTTP |
As organisations continue to modernise their systems and move to cloud-based infrastructure, the SVR has adapted to these changes in the operating environment. | 組織がシステムを近代化し、クラウドベースのインフラに移行し続ける中、SVRはこうした環境の変化に適応してきた。 |
They have to move beyond their traditional means of initial access, such as exploiting software vulnerabilities in an on-premise network, and instead target the cloud services themselves. | オンプレミス・ネットワークのソフトウェアの脆弱性を突くといった従来の初期アクセス手段から、クラウド・サービスそのものを標的とするようになった。 |
To access the majority of the victims’ cloud hosted network, actors must first successfully authenticate to the cloud provider. Denying initial access to the cloud environment can prohibit SVR from successfully compromising their target. In contrast, in an on-premise system, more of the network is typically exposed to threat actors. | 被害者のクラウドホスティングネットワークの大部分にアクセスするには、アクターはまずクラウドプロバイダへの本人認証に成功しなければならない。クラウド環境への最初のアクセスを拒否することで、SVRはターゲットへの侵害を成功させることができなくなる。これとは対照的に、オンプレミスのシステムでは、一般的にネットワークの多くが脅威行為者にさらされている。 |
Below describes in more detail how SVR actors are adapting to continue their cyber operations for intelligence gain. These TTPs have been observed in the last 12 months. | 以下では、SVR行為者が諜報活動のためにサイバー作戦を継続するために、どのように適応しているかについて詳しく説明する。これらのTTPは過去12ヶ月間に観察されたものである。 |
Access via service and dormant accounts | サービスおよび休眠アカウント経由のアクセス |
Previous SVR campaigns reveal the actors have successfully used brute forcing (T1110) and password spraying to access service accounts. This type of account is typically used to run and manage applications and services. There is no human user behind them so they cannot be easily protected with multi-factor authentication (MFA), making these accounts more susceptible to a successful compromise. Service accounts are often also highly privileged depending on which applications and services they’re responsible for managing. Gaining access to these accounts provides threat actors with privileged initial access to a network, to launch further operations. | これまでのSVRキャンペーンから、行為者はブルートフォース(T1110)とパスワードスプレーを使用して、サービスアカウントへのアクセスに成功していることが明らかになっている。この種のアカウントは通常、アプリケーションやサービスを実行・管理するために使用される。これらのアカウントの背後には人間のユーザーがいないため、多要素認証(MFA)で簡単に保護することができず、これらのアカウントは侵害に成功しやすくなっている。サービス・アカウントもまた、どのアプリケーションやサービスを管理するかによって、高い権限を持つことが多い。これらのアカウントにアクセスすることで、脅威行為者はネットワークへの特権的な初期アクセス権を得て、さらなる作戦を開始することができる。 |
SVR campaigns have also targeted dormant accounts belonging to users who no longer work at a victim organisation but whose accounts remain on the system. (T1078.004). | また、SVRキャンペーンでは、被害者の組織ではもう働いていないが、システム上にアカウントが残っているユーザーの休眠アカウントも標的としている。(T1078.004). |
Following an enforced password reset for all users during an incident, SVR actors have also been observed logging into inactive accounts and following instructions to reset the password. This has allowed the actor to regain access following incident response eviction activities. | インシデント発生時に全ユーザーのパスワードが強制的にリセットされた後、SVR行為者が非アクティブなアカウントにログインし、指示に従ってパスワードをリセットすることも確認されている。これにより、行為者はインシデント対応の立ち退き活動後にアクセスを回復することができた。 |
Cloud-based token authentication | クラウドベースのトークン認証 |
Account access is typically authenticated by either username and password credentials or system-issued access tokens. The NCSC and partners have observed SVR actors using tokens to access their victims’ accounts, without needing a password (T1528). | アカウントへのアクセスは通常、ユーザー名とパスワードによる本人認証か、システムが発行するアクセストークンによって認証される。NCSCとパートナーは、SVR行為者が被害者のアカウントにアクセスするために、パスワードを必要とせずにトークンを使用していることを確認している(T1528)。 |
The default validity time of system-issued tokens varies dependant on the system, however cloud platforms should allow administrators to adjust the validity time as appropriate for their users. More information can be found on this in the mitigations section of this advisory. | システムで発行されたトークンのデフォルトの有効時間はシステムによって異なるが、クラウドプラットフォームでは、管理者がユーザーに応じて適切な有効時間を調整できるようにすべきである。詳細については、本アドバイザリの低減セクションを参照されたい。 |
Enrolling new devices to the cloud | 新しいデバイスをクラウドに登録する |
On multiple occasions, the SVR has successfully bypassed password authentication on personal accounts using password spraying and credential reuse. SVR actors have also then bypassed MFA through a technique known as ‘MFA bombing’ or ‘MFA fatigue’, in which the actors repeatedly push MFA requests to a victim’s device until the victim accepts the notification (T1621). | SVRは複数回にわたり、パスワードの散布とクレデンシャルの再利用を使用して、本人アカウントのパスワード認証をバイパスすることに成功している。SVRの行為者はまた、「MFA爆撃」または「MFA疲労」として知られる手法によってMFAを迂回し、行為者は、被害者が通知を受け入れるまで、被害者のデバイスにMFA要求を繰り返しプッシュする(T1621)。 |
Once an actor has bypassed these systems to gain access to the cloud environment, SVR actors have been observed registering their own device as a new device on the cloud tenant (T1098.005). If device validation rules are not set up, SVR actors can successfully register their own device and gain access to the network. | アクターがこれらのシステムを迂回してクラウド環境にアクセスすると、SVRアクターは自身のデバイスをクラウドテナント上の新しいデバイスとして登録することが確認されている(T1098.005)。デバイス検証ルールが設定されていない場合、SVRアクターは自身のデバイスを登録し、ネットワークにアクセスすることに成功する。 |
By configuring the network with device enrolment policies, there have been instances where these measures have defended against SVR actors and denied them access to the cloud tenant. | デバイス登録ポリシーでネットワークを構成することで、これらの対策がSVR行為者を防御し、クラウドテナントへのアクセスを拒否した事例がある。 |
Residential proxies | 住宅用プロキシ |
As network-level defences improve detection of suspicious activity, SVR actors have looked at other ways to stay covert on the internet. A TTP associated with this actor is the use of residential proxies (T1090.002). Residential proxies typically make traffic appear to originate from IP addresses within internet service provider (ISP) ranges used for residential broadband customers and hide the true source. This can make it harder to distinguish malicious connections from typical users. This reduces the effectiveness of network defences that use IP addresses as indicators of compromise, and so it is important to consider a variety of information sources such as application and host-based logging for detecting suspicious activity. | ネットワーク・レベルの検知機能が改善されるにつれ、SVR行為者はインターネット上で隠密に行動するための別の方法に目を向けるようになった。この行為者に関連するTTPは、住宅用プロキシ(T1090.002)の使用である。住宅用プロキシは通常、住宅用ブロードバンド顧客向けに使用されるインターネット・サービス・プロバイダ(ISP)の範囲内のIPアドレスからトラフィックが発信されているように見せかけ、真の発信元を隠す。このため、悪意のある接続を一般的なユーザーと区別することが難しくなる。 このことは、IPアドレスを侵害の指標として使用するネットワーク防御の有効性を低下させるため、疑わしい活動を検知するためには、アプリケーションやホストベースのロギングなど、さまざまな情報源を考慮することが重要である。 |
Conclusion | 結論 |
The SVR is a sophisticated actor capable of carrying out a global supply chain compromise such as the 2020 SolarWinds, however the guidance in this advisory shows that a strong baseline of cyber security fundamentals can help defend from such actors. | SVRは、2020年のSolarWindsのようなグローバルなサプライチェーンの侵害を実行できる洗練された行為者である。しかし、この勧告のガイダンスは、サイバーセキュリティの基礎の強固なベースラインがこのような行為者から防御するのに役立つことを示している。 |
For organisations that have moved to cloud infrastructure, a first line of defence against an actor such as SVR should be to protect against SVR’s TTPs for initial access. By following the mitigations outlined in this advisory, organisations will be in a stronger position to defend against this threat. | クラウドインフラストラクチャに移行した組織にとって、SVRのような行為者に対する防御の第一線は、SVRの初期アクセスのためのTTPから防御することである。本アドバイザリで説明されている低減策に従うことで、組織はこの脅威に対する防御をより強固なものとすることができる。 |
Once the SVR gain initial access, the actor is capable of deploying highly sophisticated post compromise capabilities such as MagicWeb, as reported in 2022. Therefore, mitigating against the SVR’s initial access vectors is particularly important for network defenders. | SVRが初期アクセスを獲得すると、2022年に報告されたように、MagicWebのような高度に洗練された侵害後の機能を展開することができる。したがって、SVRの初期アクセスベクターに対する低減は、ネットワーク防御者にとって特に重要である。 |
CISA have also produced guidance through their Secure Cloud Business Applications (SCuBA) Project which is designed to protect assets stored in cloud environments. | CISAはまた、クラウド環境に保存された資産を保護するためのSCuBA(Secure Cloud Business Applications)プロジェクトを通じてガイダンスを作成している。 |
Some of the TTPs listed in this report, such as residential proxies and exploitation of system accounts, are similar to those reported as recently as January 2024 by Microsoft. | 本レポートに記載されている住宅用プロキシやシステムアカウントの悪用などの TTP の一部は、2024 年 1 月にマイクロソフト社から報告されたものと類似している。 |
MITRE ATT&CK® | MITRE ATT&CK |
This report has been compiled with respect to the MITRE ATT&CK® framework, a globally accessible knowledge base of adversary tactics and techniques based on real-world observations. | 本レポートは、MITRE ATT&CK® フレームワーク(実世界の観察に基づく敵対者の戦術とテクニックに関するグローバルにアクセス可能な知識ベース)に関して編集されている。 |
Tactic | ID | Technique | Procedure |
Credential Access | T1110 | Brute forcing | The SVR use password spraying and brute forcing as an initial infection vector. |
Initial Access | T1078.004 | Valid Accounts: Cloud Accounts | The SVR use compromised credentials to gain access to accounts for cloud services, including system and dormant accounts. |
Credential Access | T1528 | Steal Application Access Token | The SVR use stolen access tokens to login to accounts without the need for passwords. |
Credential Access | T1621 | Multi-Factor Authentication Request Generation | The SVR repeatedly push MFA requests to a victim’s device until the victim accepts the notification, providing SVR access to the account. |
Command and Control | T1090.002 | Proxy: External Proxy | The SVR use open proxies in residential IP ranges to blend in with expected IP address pools in access logs. |
Persistence | T1098.005 | Account Manipulation: Device Registration | The SVR attempt to register their own device on the cloud tenant after acquiring access to accounts. |
戦術 | ID | 技術 | 手順 |
クレデンシャル・アクセス | T1110 | ブルートフォース | SVRは、最初の感染ベクトルとしてパスワードスプレーとブルートフォースを使用する。 |
初期アクセス | T1078.004 | 有効なアカウント クラウドアカウント | SVRは、漏洩した認証情報を使用して、システムや休止アカウントを含むクラウドサービスのアカウントにアクセスする。 |
クレデンシャルアクセス | T1528 | アプリケーション・アクセストークンを盗む | 盗まれたアクセストークンを使用して、パスワードなしでアカウントにログインする。 |
クレデンシャルアクセス | T1621 | 多要素認証リクエスト生成的 | SVR は、被害者が通知を受け入れるまで、被害者のデバイスに MFA リクエストを繰り返しプッシュし、SVR がアカウントにアクセスできるようにする。 |
コマンドとコントロール | T1090.002 | プロキシ 外部プロキシ | SVRは、アクセス・ログで予想されるIPアドレス・プールに紛れ込むために、住宅地のIPレンジでオープン・プロキシを使用する。 |
永続性 | T1098.005 | アカウントを操作する デバイス登録 | SVRはアカウントへのアクセス権を取得した後、クラウド・テナントに自分のデバイスを登録しようとする。 |
米国
インターネット犯罪苦情センター
● Internet Crime Complaint Center; IC3
・2024.02.26 SVR Cyber Actors Adapt Tactics for Initial Cloud Access
オーストラリア
● Australia Cyber Security Centre; ACSC
・2024.02.26 SVR cyber actors adapt tactics for initial cloud access
ロシアの情報機関..
ロシア語名 | 英語名 | 日本語 (wiki) | 概要(Wikipedia JP) |
Федеральная служба безопасности | Federal Security Service | 連邦保安庁 | 連邦保安庁(FSB)は、主に独立国家共同体(CIS)の一部の国において、防諜やその他の国家安全保障、情報収集を担当する機関であり、ロシア大統領に直属する。 |
Главное управление специальных программ Президента Российской Федерации | Main Directorate of Special Programs of the President of the Russian Federation | ロシア連邦大統領特別計画本局 | ロシア連邦大統領特別計画本局(GUSP)は、ロシア連邦における動員訓練と動員の分野において、ロシア連邦大統領の権限の履行を確保する機能を果たす連邦行政機関である。その権限の範囲は、連邦法 "ロシア連邦における動員準備と動員について "に記載されている。 |
Служба внешней разведки Российской Федерации | Foreign Intelligence Service | 対外情報庁 | 対外情報庁(SVR)は、CIS諸国以外の情報収集に携わる機関で、ロシア大統領に直属する。 |
Служба внешней разведки Российской Федерации | Federal Protective Service | 連邦警護局 | 連邦警護局(FSO)は、ロシア大統領を含む、関連法によって義務付けられた国家高官数名と、特定の連邦財産の警護に関する業務を行う機関で、ロシア大統領に直属する。 |
Главное управление Генерального штаба ВС РФ | GRU | 情報総局 | 情報総局(G.U.)は、以前はGRUとして知られ、2010年以降、正式にはロシア軍参謀本部(GU;一般には以前の略称であるGRUで知られる)の情報総局であり、ロシア軍の主要な情報機関であり、ロシア最大の対外情報機関と言われている[1]。 |
« 米国 IC3 電子投票の交付、マーク付け、返送に関するリスクマネジメント (2024.02.14) | Main | 米国 White House 米国人の機密個人データを保護する大統領令を発表 »
Comments