-
Analyst's Choice
Cyber Intelligence
フィッシング
GmailとMS 365の利用者は注意を:フィッシングキット「Tycoon 2FA」の概要と対策
Rory
2024.04.16
-
Analyst's Choice
AI
Cyber Intelligence
OSINT
DarkGPT – ChatGPT-4を活用した、流出データベース検出のためのOSINTツール
Rory
2024.04.15
-
Analyst's Choice
Cyber Intelligence
GitHub
Intelligence
脅威アクターがGitHubを不正な目的で悪用するケースが増加
Rory
2024.02.07
マイクロソフト、ハッカーによるExchange Onlineアカウントの侵害手法を共有
(情報源:BleepingComputer – January 26, 2024)
マイクロソフトは25日に公開したブログ記事において、同社幹部のEメールアカウントを昨年11月に侵害したロシアのハッキンググループが、この悪意あるキャンペーンにおいて同社以外の組織をも侵害していたことを認めたほか、同グループの活動およびテクニックに関する情報や防御ガイダンスなどを提供した。
Midnight Blizzardとは
攻撃者とされるのは、ロシア政府配下にあるとみられるサイバースパイグループ「Midnight Blizzard」。 Nobelium、APT29といった呼び名でも知られ、ロシア対外情報庁との繋がりが指摘されており、主に米国やヨーロッパの政府組織、NGO、ソフトウェア開発者、ITサービスプロバイダーなどを標的とする。
パスワードスプレー攻撃によるマイクロソフトシステムへの侵入
Midnight Blizzardは昨年11月、マイクロソフトのシステムを侵害し、役員やサイバーセキュリティ部門、リーガルチームのEメールを盗んだ。この攻撃には住宅用プロキシが使われ、少数のアカウントへのパスワードスプレー攻撃が行われたことや、狙われたアカウントの1つはレガシーシステム用のテストテナントアカウントだったこと、またこのアカウントではMFAが有効化されていなかったことなどが共有されている。
さらに、このテストアカウントから利用できるOAuthアプリケーションは、マイクロソフトのコーポレート環境へ昇格済みの権限でアクセスできるものだったことも明かされている。このアクセスを利用したMidnight Blizzardは、さらなるOAuthアプリケーションを作成し、ほかのコーポレート受信箱へのアクセスも獲得することができたとされる。
米HPのメール環境にも不正アクセス
マイクロソフトは、同社の脅威インテリジェンスチームが、同社を攻撃したのと同じアクターが別の組織をも標的にしていることを特定した旨、狙われた組織への通知を開始している旨も伝えた。これに先駆けて先週、Midnight Blizzardと思われる攻撃者による不正アクセス被害を公表していたのが米HP(ヒューレット・パッカード・エンタープライズ/HPE)で、同社は昨年5月以降、Eメール環境(Microsoft Office 365)への不正アクセスが行われてデータが抜き取られていたと発表している。
【HPEがOffice 365メール環境への不正アクセス被害公表】ヒューレット・パッカード エンタープライズによると、昨年5月以降にサイバーセキュリティ部門等の受信箱からデータが盗まれた模様。ロシアの国家アクターMidnight Blizzard/Cozy Bearが実行犯と考えられているhttps://t.co/b4H9j85Nvv
— Machina Record (@MachinaRecord) January 24, 2024
1月26~28日: その他のサイバーセキュリティ関連ニュース
米国家安全保障局、米国人の個人データを違法に購入していたことが発覚
米国のRon Wyden上院議員は18日、米国家安全保障局(NSA)がバージニア州のデータブローカーX-Mode Socialを通じ、本人への通知を行わず、同意や令状もないままに米国人の個人データを違法に購入しているとしてNSAを非難した。
Wyden議員は米国国家情報長官(DNI)に宛てた書簡で、この違法行為をやめさせるようDNIに要求。この訴えの背後にあったのは、米連邦取引委員会(FTC)が今月初めに下した決定だった。FTCは1月9日、消費者のプライバシーを侵害するとの理由で、「スマートフォンの位置情報」を販売するデータブローカーに収集した機微データの販売を禁止している。
米上院情報委員会の上級委員でもある同議員は、X-Mode Social(現Outlogic)が位置情報を米軍に直接販売していることを2020年に初めて発見。情報提供を求めていたNSAからようやく返答があり、「同局が令状なしで米国人のインターネット閲覧データを購入している」ことを確認したと述べた。
親ウクライナ派ハッカーグループが露研究センターのデータ2PBを消去
SecurityAffairs – January 27, 2024
ウクライナ国防省情報総局は、親ウクライナ派のハッカーグループ「BO Team」が、ロシアのプラネタ宇宙水文・ 気象学研究所極東センターの280台のサーバーから、2ペタバイト(PB)のデータを消去したことを発表した。
同局はプレスリリースの中で、この研究所の経済的損失は少なくとも1,000万ドルに上るとの推測を示した。またこのサイバー攻撃で、空調や加湿システム、ビルの非常用電源も影響を受けたという。同研究所は、人工衛星から受信したデータを処理し、ロシアの陸軍省や、国防省の参謀本部、サービスを含む50以上の国家機関に関連製品を提供していた。
今回のインシデントにより、ロシアの占領軍を支援するロシアの企業数十社は長期にわたって重要な情報やサービスを得られない状態になるとされている。
なお、この攻撃に関する技術的な詳細はプレスリリースに記載されておらず、マルウェアが使用されたのかや、攻撃に同局が関与していたのかどうかは不明。
