マイクロソフトの調査によってLAPSUS $の手口は、電話を使ったソーシャルエンジニアリング、アカウント乗っ取りを可能にするSIMスワップ、標的組織の従業員の個人メールアカウントへのアクセス、標的組織の従業員、サプライヤー、ビジネスパートナーを買収することで認証情報へのアクセスや多要素認証(MFA)の承認、標的の進行中の危機管理通信へ侵入することが分かってきました。
ソーシャルエンジニアリングと呼ばれる、人間の心理的な隙や、行動のミスにつけ込んで個人が持つ秘密情報を入手する方法を駆使すれば、社内の人間を操り必要な情報を得る事も可能です。
これは2020年7月15日にもTwitter社が、電話によるスピアフィッシング攻撃で内部ネットワークと、サポートツールへのアクセスを許可する特定のクレデンシャルを持つ従業員がターゲットとなり、ツールにアクセスできる従業員になりすまし130のTwitterアカウントから個人情報が漏洩しました。そこにはアップルやイーロン・マスク、ビル・ゲイツ、ジョー・バイデンなど大企業や著名人のアカウントが含まれておりました。
ランサムウェアグループLAPSUS $がOktaの機密情報をリークしたと表明
2022年3月22日 ランサムウェアグループLAPSUS $がOktaの機密情報をリークした模様、従業員をスパイするために使用するOkta独自のリモートコントロールツールを悪用することで、すべてのアクセス権を取得した可能性があるとのこと。今後の動向に注意が必要です。
OktaのChris Hollis氏によると、この報告を認識しており調査中であると述べた模様です。 なお”我々は様々な状況が明らかになった時に改めて報告します “と彼は付け加えました。
なお同日に、OktaよりADやLDAPからのインポートやパスワードリセットなど委任型管理機能(delegated administration offering)をさらに強化したカスタム管理者ロール(Custom Admin Roles) が利用できるようになった模様です。柔軟性は高くなりますが適切な運用が必要かもしれません。
🌟 Okta Custom Admin Roles – now available for all customers!
— Okta (@okta) March 21, 2022
Learn more about our updated admin experience that goes way beyond the industry standard, offering even more flexibility 🤸♀️ + security 🔐
Watch how it’s done👇 + learn more 👉 https://t.co/Wkh9ngt5aZ pic.twitter.com/K9X4a6fpdG
oktaのTodd McKinnon CEO よると、この件は無事収束している模様。
更にOktaによれば今のところ、悪意のある活動が継続している証拠が確認されていないとのこと。
Cloudflare CEO Matthew Prince氏による見解
しかし、Cloudflare CEO Matthew Prince氏によるとOktaの対応について不安を抱いており、セキュリティレイヤーの代替案を検討しております。なお過去4ヶ月以内にパスワードを変更した従業員については、念のためOktaの認証情報をリセットした模様です。
Cloudflareよりこの度のOktaの侵害に関する調査と緩和策について公開されました。すべてのユーザーアカウントでMFAを有効にする。MFA方式はフィッシング攻撃に対して脆弱な場合があるため、パスワードによる保護だけでなく、ハードキーの使用を強く推奨とのことです。
Oktaをご利用のお客様はどうすればよいですか?
Oktaにお問い合わせください。また以下の対応をお勧めします。
- OktaインスタンスのすべてのパスワードとMFAの変更を確認します。
- サポートが開始したイベントには特に注意を払う。
- すべてのパスワードリセットが有効であることを確認するか、またはすべて疑わしいと判断して、新しいパスワードリセットを強制的に実行する。
- 疑わしい MFA 関連イベントを見つけたら、ユーザーのアカウント構成に有効な MFA キーのみが存在することを確認する。万が一、いずれかのセキュリティが失敗した場合に備えて、他のセキュリティレイヤーがあることを確認する。
LAPSUS$に関するOktaのステートメント
その後、LAPSUS$に関するOktaのステートメントが発表されました。
Oktaのサービスは侵害されておらず、完全に稼働しています。お客様がとるべき是正措置はありません。なお影響を受けた可能性のあるお客様の特定や連絡など、積極的に調査を続けています。
米国太平洋標準時3月22日午前10時45分(日本時間3月23日午前2時45分)に掲載
これらのクレームを徹底的に分析した結果、ごく一部のお客様(約2.5%)に影響が及ぶ可能性があり、そのデータが閲覧・操作された可能性があると結論づけました。これらのお客様を特定し、直接連絡を取っています。
米国太平洋時間3月22日午後6時31分(日本時間3月23日午前10時31分)に更新
2022年1月の侵害に関するOktaの調査について
以下の調査内容から、攻撃者はOktaサービスそのものにアクセスはできなかったものの、作業者のローカルPCを遠隔から操作しOktaにログインしているところをスクリーンショットで撮影した模様です。よって、Oktaサービスを乗っ取られたという最悪の事態ではなかったようです。とはいえ作業者が開いた画面に写された機密情報が漏れてしまったと思います。
私たちの調査は、Sitelのサマリーレポートに含まれていないスクリーンショットが、攻撃者が RDPを使用してリモートアクセスを取得したSitelサポートエンジニアのコンピュータから撮影されたものであることを確認しました。このデバイスはSitelが所有し、管理していました。このシナリオは、コーヒーショップで自分のコンピュータから離れると、見知らぬ人が(この場合は仮想的に)自分のコンピュータに座り、マウスとキーボードを使用していることに似ています。つまり、攻撃者はアカウントの乗っ取りによってOktaサービスにアクセスすることはできませんでしたが、Oktaにログインしているマシンが侵害され、RDPセッションを通じてスクリーンショットを取得し、マシンを制御することができたのです。
更新:米国時間3月23日午前8時50分(日本時間3月24日午前0時50分)
Oktaは機密情報を漏洩した可能性がある期間のログエントリーを分析し、作業者によってアクセスされた366(約2.5%)のクライアントに影響が及ぶ可能性があることを突き止めた模様です。
フォレンジック会社からの報告書は、脅威者がSitel環境にアクセスできる期間が2022年1月16日から21日の間の5日間であることを示し、私たち自身の分析でそれを検証しました。
更新:米国時間3月23日午前8時50分(日本時間3月24日午前0時50分)
このインシデントの影響範囲を特定するために、私たちのチームは最悪のシナリオを想定し、問題の5日間にすべてのSitel社員がSuperUserアプリケーションに対して行ったすべてのアクセスを調査しました。過去24時間に渡って125,000以上のログエントリーを分析し、該当期間中にSitelによってどのようなアクションが実行されたかを確認しました。その結果、SitelによってOktaテナントにアクセスされた366(約2.5%)のお客様に影響がおよぶ可能性があると判断しました。
更に影響が及ぶクライアントについて、作業者が実行したアクションをレポートとして用意されております。
透明性を確保するため、これらのお客様には、その期間にSitelがOktaテナントに対して実行したアクションを示すレポートをお渡しいたします。これは、お客様にご自身で状況を判断していただくための最善の方法だと考えています。
更新:米国時間3月23日午前8時50分(日本時間3月24日午前0時50分)
マイクロソフトは自社を標的とした DEV-0537 (LAPSUS $) を追跡していることを公表
なお、Oktaの調査では作業者のローカルPCを遠隔から操作したことまで判明しましたが、マイクロソフトによってLAPSUS $の手口は、電話を使ったソーシャルエンジニアリング、アカウント乗っ取りを可能にするSIMスワップ、標的組織の従業員の個人メールアカウントへのアクセス、標的組織の従業員、サプライヤー、ビジネスパートナーを買収することで認証情報へのアクセスや多要素認証(MFA)の承認、標的の進行中の危機管理通信へ侵入することが分かってきました。
LAPSUS $が利用するソーシャルエンジニアリングやアイデンティティを中心とした手口は、インサイダーリスク対策と同様の検知・対応プロセスを必要としますが、悪質な外部侵入には素早い対応も必要となります。このマイクロソフトのブログでは、複数の攻撃や侵入で観察された戦術、技術、手順(TTP)をまとめています。また、このユニークな複合テクニックに対する組織のセキュリティ強化に役立つ、リスク軽減策と推奨事項についても説明しております。
初期アクセス
組織への侵入を試みるため、ユーザーIDに焦点を当てた様々な方法を使用します。
- パスワードとセッション・トークンを取得するために、マルウェアのレッドライン・パスワード・スティーラーを展開する。
- 犯罪者のアンダーグラウンド・フォーラムから認証情報およびセッション・トークンを購入する。
- 標的組織の従業員(またはサプライヤー/ビジネスパートナー)に金銭を支払って、認証情報へのアクセスやMFAの承認を得る。
- 公開されているコードリポジトリを検索して、公開されている認証情報を探す。
漏洩した認証情報および/またはセッション・トークンを使用して、LAPSUS $はインターネットからシステムおよびアプリケーションにアクセスします。これらのシステムには、仮想プライベートネットワーク(VPN)、リモートデスクトッププロトコル(RDP)、Citrixなどの仮想デスクトップインフラ(VDI)、アイデンティティプロバイダ(Azure Active Directory、Oktaなど)などがあります。セッション・トークンの再利用と、盗んだパスワードを使ってMFAプロンプトを表示させ、乗っ取られたアカウントの正規ユーザーが承認することを期待するもので、LAPSUS $は主に2つの手法を使用しました。
LAPSUS $ は、まず個人の個人アカウントやプライベートアカウント(業務に関係のないアカウント)を標的にして侵入し、企業システムへのアクセスに使用できる認証情報を探すケースがあります。従業員は個人アカウントや携帯電話番号を2要素認証やパスワード回復用に使用しているため、このアクセス権を利用してパスワードをリセットし、アカウントの回復操作を完了させます。
また、マイクロソフトはLAPSUS $ が募集した従業員(またはそのサプライヤーやビジネスパートナーの従業員)を通じて、ターゲット組織へのアクセスに成功したことを発見しました。LAPSUS $はターゲットの認証情報を購入したいと宣伝し、従業員や請負業者がその作戦に参加するように勧誘していました。手数料を支払って資格情報を提供し、MFAプロンプトを承認するか、ユーザーが企業のワークステーションにAnyDeskまたは他のリモート管理ソフトウェアをインストールし、システムをコントロールする必要があります。このような戦術は、LAPSUS $がターゲット組織のサービスプロバイダやサプライチェーンが持っているセキュリティアクセスやビジネスにおける関係を利用する方法の1つに過ぎません。
その他の観測されたのは、LAPSUS $はネットワークにサインインする前にユーザーの電話番号にアクセスするためにSIMスワッピング攻撃を実行したことです。これによって、アクセスするために必要な電話ベースの認証プロンプトを処理することができます。
ユーザー認証またはアクセスを取得すると、LAPSUS $は組織のVPNにシステムを接続します。更には条件付きアクセス要件を満たすためにAzure Active Directory(Azure AD)にシステムを登録または参加させました。
偵察と権限のエスカレーション
LAPSUS $は、侵害されたアカウントを使用してターゲットネットワークにアクセスした後、追加の認証情報や侵入ポイントを発見するために、以下のような複数の戦術を使用してアクセス範囲を拡大しました。
- JIRA、Gitlab、Confluence など、内部でアクセス可能なサーバーのパッチが適用されていない脆弱性を突く
- コードリポジトリやコラボレーションプラットフォームを検索し、公開された認証情報や秘密を探す
彼らは、一般に公開されているツールであるAD Explorerを使用して、当該ネットワーク内のすべてのユーザーとグループを列挙することが一貫して確認されています。これにより、どのアカウントがより高い権限を持つ可能性があるかを把握することができます。そして、SharePointやConfluenceなどのコラボレーションプラットフォーム、JIRAなどの課題追跡ソリューション、GitLabやGitHubなどのコードリポジトリ、TeamsやSlackなどの組織コラボレーションチャネルを検索し、さらに高い権限を持つアカウントの資格情報を発見して、他の機密情報にアクセスしました。
LAPSUS $は、Confluence、JIRA、GitLabの脆弱性を悪用して特権に昇格させることも知られています。これらのアプリケーションを実行しているサーバーに侵入し、特権アカウントの資格情報を取得して、そこから更に資格情報をダンプしました。また、DCSync攻撃とMimikatzを使用して、特権昇格のルーチンを実行しました。ドメイン管理者アクセスまたはそれに相当するアクセス権を取得すると、グループは内蔵のntdsutilユーティリティを使用して、ADデータベースを抽出しました。
ときにはLAPSUS $がヘルプデスクに電話をかけ、サポート担当者に特権アカウントの認証情報をリセットするよう説得することも試みます。このグループは、事前に収集した情報(たとえば、プロフィール写真など)を使用し、ネイティブな英語を話せるメンバーにヘルプデスクの担当者と話をさせ、ソーシャルエンジニアリングの誘い文句を強化しました。観察された行動には、LAPSUS $が「あなたが住んでいた最初の住所」や「母親の旧姓」などの一般的な回復プロンプトに答えて、ヘルプデスク担当者が本物であることを確信させることも含まれています。この手口は、多くの組織がヘルプデスクのサポートを外部に委託しており、ヘルプデスク担当者に特権を与えることから、こうしたサプライチェーンの関係性を利用するものです。
MFAの強化
多要素認証(MFA)は、LAPSUS $に対する主要な防御ラインの1つです。MFAをより安全に実装するために、以下の推奨事項を参照してください。
推奨
- オンプレミスのシステムから来るユーザーも含め、認識された信頼できる環境、インターネットに接したインフラなど、あらゆる場所から来るすべてのユーザーに多要素認証機能を要求する。
- FIDOトークンや、番号照合機能を持つMicrosoft Authenticatorなど、より安全な実装を活用する。SIMジャックのリスクを避けるため、テレフォニーベースのMFA方式は避ける。
- Azure Active Directory Password Protectionを使用して、ユーザーが簡単に推測できるパスワードを使用していないことを確認する。
- Windows Hello for Business、Microsoft Authenticator、FIDOトークンなどのパスワードレス認証方式を活用し、パスワードに関連するリスクとユーザーエクスペリエンスの問題を軽減する。
非推奨
- テキストメッセージ(SIM 交換の影響を受けやすい)、単純な音声承認、単純なプッシュ式ダイヤル(代わりに番号照合を使用)、または「二次電子メール」ベースの MFA 方法などの弱い MFA 要素を使用する。
- 位置情報による除外を含める。
- ユーザー間でクレデンシャルまたは MFA 要素の共有を許可する。
VPNに最新の認証オプションを活用する
VPN認証は、Azure ADに接続されたOAuthやSAMLなどの最新の認証オプションを活用し、リスクベースのサインイン検出を可能にする必要があります。モダン認証は、サインインのリスクに基づいて認証の試行をブロックし、サインインに準拠したデバイスを必要とし、認証スタックとの緊密な統合により、より正確なリスク検出を可能にします。VPNにおけるモダン認証と厳格な条件付きアクセスポリシーの実装は、LAPSUS $のアクセス戦術に対して有効であることが示されています。
クラウドセキュリティの強化・監視
LAPSUS $は、正当な認証情報を利用して、顧客に対して悪質な行為を行います。これらの認証情報は正当なものであるため、実行された活動の中には、標準的なユーザーの行動のように見えるものもあるかもしれません。以下の推奨事項を参考に、クラウドのセキュリティ体制を強化してください。
- 条件付きアクセスのユーザーとセッションのリスク設定を確認します。
- すべてのユーザーに対して、高/中ユーザーリスクのパスワードリセットをブロックまたは強制する。
- すべてのユーザーに対して、サインインリスクの高いログインをブロックする
- 特権ユーザーの中程度のサインインリスクのログインをブロックする
- 他のすべてのユーザーの中程度のサインインリスクのログインにMFAを要求する。
- 以下のようなリスクの高いテナント構成の変更について、レビューを促すアラートを設定する必要があります。
- Azure ADのロールおよびそのロールに関連する特権ユーザーの変更
- Exchange Onlineトランスポートルールの作成/変更
- テナント全体のセキュリティ設定の変更
- Azure AD Identity Protectionのリスク検出を確認
- リスク検知により、危険なユーザーと危険なサインインをハイライト表示
- 管理者は、ここに表示された個々のサインインを確認し、危険または安全であることを確認することができます。
- リスクの調査方法について、詳しくはこちらをご覧ください。 Azure Active Directory Identity Protection
ソーシャルエンジニアリング攻撃への認識を高める
マイクロソフトは、組織を保護するために、ソーシャル・エンジニアリングの手口に対する認識を高め、改善することを推奨します。技術チームのメンバーには、普段と異なる同僚との接触に注意し、報告するよう教育してください。ITヘルプデスクは、不審なユーザーに対して過敏に反応し、その追跡と報告を直ちに行うようにすること。高度な特権を持つユーザーやエグゼクティブのパスワードリセットに関するヘルプデスクのポリシーを、ソーシャルエンジニアリングを考慮したものに見直すことをお勧めします。
ヘルプデスクの検証方法について従業員を教育することにより、組織内にセキュリティ意識の文化を根付かせる。ヘルプデスクからの疑わしい連絡や普段と異なる連絡を報告するよう奨励する。今回のようなソーシャル・エンジニアリング攻撃に対しては、教育が第一の防御策であり、全従業員がリスクと既知の手口を認識するようにすることが重要です。
LAPSUS $の侵入に対応した運用セキュリティプロセスの確立
LAPSUS $は、インシデントレスポンス通信を監視し、侵入することが知られています。このため、これらの通信チャネルに不正な参加者がいないか注意深く監視し、参加者を視覚的または聴覚的に確認する必要があります。
LAPSUS $と思われる侵入に対応する際には、非常に厳しい運用セキュリティルールに従うよう組織に助言します。組織は、調査が行われている間、数日間使用できるインシデント対応者のための帯域外通信計画を作成する必要があります。この対応計画の文書は、厳重に保管し、簡単にアクセスできないようにする必要があります。
マイクロソフトは、LAPSUS $の活動、戦術、マルウェア、ツールの追跡を続けています。私たちの顧客に対する彼らの行動を調査する中で、追加的な洞察や推奨事項があればお伝えします。
LAPSUS $によるインサイダーへの勧誘
LAPSUS $は実際にターゲットの認証情報を購入したいと宣伝し、従業員や請負業者を勧誘しています。
oklaqq 携帯キャリア社員の稼ぎの機会 – $20000+
私の名前はアレックスです。
私はATT、Verizon、T-Mobileのいずれかのインサイダー/従業員を探しています。
私はあなたが私のためにATT、Verizon、T-Mobileのいずれかでいくつかの \*inside jobs* を行うために週に2万ドル以上を提供できます。- これらの仕事は、あなたにとっても私にとってもリスクが低く、しかも私から高額な報酬を受け取ることができます。- この仕事は週に1、2人の顧客をSIMスワップすることです。
LAPSUS$グループの手法を詳述したMandiantの報告書について
Bill Demirkapi が入手したMandiantの報告書による解説とOktaへの質問が投稿されました。
Oktaの情報漏洩に新たな資料「 Sitel/SYKESの不正アクセスのタイムラインとLAPSUS$グループの方法論について詳述したMandiantのレポート」のコピーを入手しました。
Bill Demirkapi
LAPSUS$がもともと2022年1月19日に侵害されたホストの調査を開始した経緯がわかります。OPSECをほとんど考慮せず、LAPSUS$は侵害されたホストでCVE-2021-34484バイパスを検索し、GitHubからビルド済みバージョンをダウンロードしました。
Bill Demirkapi
Initial Compromise
2022-01-16 00:33:23 First Logon event
2022-01-19 19:19:47 RDP logon
Escalate Privileges
2022-01-19 19:45:39 Bing search for Privilege escalation tools on Github
2022-01-19 19:47:58 UseProfileSvcEop.exe downloaded from Github
LAPSUS$は、攻撃の大部分にGitHubの既製のツールを使用しました。Process ExplorerとProcess Hackerをダウンロードした後、LAPSUS$はFireEyeのエンドポイントエージェントを終了させることで迂回しました。
Bill Demirkapi
Internal Recon
2022-01-20 18:39:43 Bing search for Process Explorer
2022-01-20 18:40:04 Process Explorer executed
Establish Foothold
2022-01-20 18:43:51 Bing search for Process Hacker
2022-01-20 18:44:01 Process Hacker downloaded from Github
2022-01-20 18:44:17 Process Hacker execution
2022-01-20 18:46:22 FireEye Endpoint Agent service terminated
エンドポイントエージェントを無効にしたLAPSUS$は、単純にMimikatz(有名な認証情報ダンプユーティリティ)の公式バージョンをそのリポジトリから直接ダウンロードしたのです。
Bill Demirkapi
Escalate Privileges
2022-01-20 18:46:55 Bing search for Mimikatz
2022-01-20 18:48:28 Mimikatz downloded from github
2022-01-20 18:50:10 Mimikatz executed
2022-01-20 18:57:17 C:¥Users¥{ACCOUNT NAME REDACTED}¥Documents¥mimikatz_trunk¥x64¥hash.txt
LAPSUS$は、「DomAdmins_LastPass.xlsx」という目立つタイトルのExcelドキュメントを取得し、Sitelの環境にバックドアユーザーを作成することができました。
Bill Demirkapi
Internal Recon
2022-01-21 00:05:15 [ACCOUNT NAME REDACTED]@sykes[.]com accessd https://[INTERNAL URL REDACTED]/personal/[INTERNAL USER NAME REDACTED]/Documents/Projects/ryk/DomAdmins-LastPass.xlsx via SecureLink
Maintain Presence
2022-01-21 05:29:50 [ACCOUNT NAME REDACTED] account created by [ACCOUNT NAME REDACTED]@sykes[.]com
2022-01-21 05:29:51 [ACCOUNT NAME REDACTED] added to TenantAdmins group by [ACCOUNT NAME REDACTED]@sykes[.]com
LAPSUS$は、Sitelの環境内のすべてのメールを自分のアカウントに転送する悪意のある「メール転送ルール」を作成し、攻撃を完了させました。https://docs.microsoft.com/en-us/exchange/security-and-compliance/mail-flow-rules/mail-flow-rules
Bill Demirkapi
Establish Foothold
2022-01-21 05:39:13 Malicious Email Transport rule to forward to BCC all mail to the accounts [ACCOUNT NAME REDACTED]@sykes[.]com and [ACCOUNT NAME REDACTED]
Complete Mission
2022-01-21 14:11:38 Last malicious login by [ACCOUNT NAME REDATED]@sykes[.]com to O365
Oktaに質問です。
Bill Demirkapi
1月にカスタマーサポートメンバーのマシンが危険にさらされたことをご存知でしたか?または、なぜ調査しなかったのですか?
攻撃を検知する能力があっても、対処する意志がなければ意味がありません。
Oktaは、3月にMandiantから攻撃の詳細を明確に示す報告書を受け取ったときでさえ、LAPSUS$がその無策にスポットライトを当てるまで、同社の環境が侵害された明白な兆候を無視し続けました。Sitel Groupによる侵害の兆候があったときに、なぜ顧客へ通知されなかったのですか?または、なぜ顧客は侵害されたことを知るのに2カ月も待たなければならなかったのでしょうか?
Sitel Groupは、Oktaよりも多くのお客様にサービスを提供しています。サポートスタッフが業務を遂行するために、顧客の環境に対する管理者権限が必要になることもよくあります。外部に委託することのリスクを浮き彫りにしています。そこで以下のような質問があります。
サブプロセッサー(委託先)がどのようにセキュリティーを管理しているか、誰が知っていますか?
また、このケースでSitelが自社のセキュリティにあまり真剣に取り組んでいませんでした。数多くのサブプロセッサー(委託先)の1つが危険にさらされた場合、攻撃者は何ができるのでしょうか?