Mandiantは8月18日(米国時間)、「You Can’t Audit Me: APT29 Continues Targeting Microsoft 365|Mandiant」において、ロシアの持続的標的型攻撃(APT: Advanced Persistent Threat)グループがMicrosoft 365を標的としたスパイ活動を続けていると伝えた。「APT29」と呼ばれる持続的標的型攻撃グループが米国や北大西洋条約機構(NATO: North Atlantic Treaty Organization)、およびそのパートナー国を標的としたスパイ活動を続けていることが明らかとなった。

  • You Can’t Audit Me: APT29 Continues Targeting Microsoft 365|Mandiant

    You Can’t Audit Me: APT29 Continues Targeting Microsoft 365|Mandiant

Mandiantのセキュリティ専門家は、APT29が新たな高度な戦術、技術、手順を考案したと指摘している。例えば、E5ライセンスを利用するMicrosoft 365のユーザーには「Purview Audit」(旧Advanced Audit)というセキュリティ監査機能が提供されているが、APT29は侵害されたターゲットアカウントでPurview Auditを無効化したことが判明した。この機能が無効化されると標的の電子メールが収集されてしまうという。

APT29グループを含む複数の脅威アクターが、Azure Active Directoryや他のプラットフォームにおける多要素認証(MFA: Multi-Factor Authentication)の登録プロセスを利用することも確認されている。APT29がパスワード推測攻撃を実施して一度も利用されていないアカウントのパスワードの推測に成功。アカウントにログイン後、多要素認証を登録して組織のVPNインフラストラクチャにアクセスされている。

さらに、Azure Active Directoryのグローバル管理者アカウントへアクセスしたことも報告されている。このアカウントを悪用してApplicationImpersonation権限を持つサービスプリンシパルをバックドアし、メールボックスからメールの収集を開始したとされている。

Mandiantのセキュリティ専門家は、この持続的標的型攻撃グループは今後もMicrosoft 365に不正にアクセスするためにステルス技術や戦術を開発し続けると予測している。