米国では大統領選による混乱が続いておりますが、サイバー攻撃者には好都合のようだ。
サイバー脅威攻撃者は、複数のユーザーのMicrosoft Office 365(O365)アカウントとドメイン管理者アカウントの有効なアクセス資格情報を持っていたことから、パスワード管理の有効性に問題があった事が推測される。
”CISAアナリストによれば、サイバー脅威攻撃者が最初に資格情報を取得した方法を特定できていない。サイバー攻撃者は、Pulse Secure(Exploitation for Credential Access)の既知の脆弱性(CVE-2019-11510)を悪用して、パッチが適用されていないVPNサーバーから資格情報を取得した可能性がある。2019年4月、Pulse Secureは、パスワードを含むファイルのリモートの認証されていない取得を可能にするCVE-2019-11510を含むいくつかの重大な脆弱性に対するパッチをリリース。CISAは連邦政府全体でCVE-2019-11510の広範囲に及ぶ悪用を察知した。”
CISA Analysis Report (AR20-268A)
管理者アカウントまで握られてしまうと防げませんが、それでもアカウントの不正利用を初動段階で防ぐには、2要素認証が有効だと感じる。
Microsoft Office365 多要素認証をセットアップする
これらの資格情報は、政府機関のネットワークへの初期アクセスに利用された。最初に、サイバー攻撃者はIPアドレスからユーザーのO365アカウントにログインし、次にSharePointサイトのページを参照して、ファイルをダウンロードした。サイバー攻撃者は、TCPによって被害組織のVPNサーバーに接続している。
これらを連邦民間ネットワークを監視するCISAの侵入検知システムであるEINSTEINを介して、連邦政府機関のネットワークの潜在的な侵害を発見したようだ。
サイバー脅威攻撃者は、侵害された資格情報を活用することで、影響を受けるエージェンシーのマルウェア対策保護を回避するマルチステージマルウェアを含む高度なマルウェアを埋め込み、エージェンシーのファイアウォールの弱点を悪用した2つのリバースSocket Secure(SOCKS)プロキシを介して永続的なアクセスを取得していた。
