CISA: SolarWindsのハッカーはパスワードを推測してターゲットを侵害していた〜すべてがNになる〜

　ZDNetの記事プッシュ通知をONにしているので一応少し翻訳したのが最後通知がきたら気になって翻訳してしまう感じになってしまっていますなので今回も以下翻訳です。

CISA: SolarWinds hackers also used password guessing to breach targets | ZDNet

CISAによると、SolarWindsハックの背後にある脅威の行為者は、トロイの木馬化されたアップデートだけでなく、パスワードの推測やパスワードスプレーを使ってターゲットを侵害していたという。　

 米国サイバーセキュリティ・インフラストラクチャセキュリティ庁（CISA）は本日、SolarWindsハックの背後にある脅威行為者は、最近のハッキングキャンペーンの一環として、パスワード推測やパスワードスプレー攻撃もターゲットを侵害するために使用しており、初期のアクセスベクトルとして常にトロイの木馬化された更新プログラムに頼っていたわけではないと述べた。

 CISAは先月、SolarWinds事件に関する最初の勧告で、SolarWindsハッカーがSolarWinds Orionソフトウェアを実行していないターゲットに侵入したケースを調査していると述べていたが、新たな動きが出てきた。

  また。ベストVPN

 当時は詳細な情報は提供されていませんでしたが、今週投稿された当初のアドバイザリーの更新で、CISAは、SolarWindsのハッカーが初期アクセスのベクターとしてパスワード推測とパスワードスプレーにも依存していることを最終的に確認したと述べています。

 "CISAのインシデント対応調査では、いくつかのケースでパスワード推測[T1101.001]、パスワードスプレー[T1101.003]、および外部リモートアクセスサービス[T1133]を介してアクセスできる不適切に保護された管理者資格情報[T1078]によって初期アクセスが得られていることが確認されています。

 CISAによると、ロシアを起源とすると考えられるハッカーは、アクセスをエスカレートさせて管理者権限を獲得した後、認証トークン（OAuth）を偽造し、有効な認証情報を提供したり、多要素認証の課題を解決したりすることなく、企業ネットワーク内の他のローカルまたはクラウドがホストするリソースにアクセスできるようにしたとのことです。

　12月28日に発表された報告書で、マイクロソフトは、脅威行為者の主な目的は、クラウドがホストするインフラへのアクセスを得ることであり、多くの場合、同社の自社のAzureやMicrosoft 365の環境であると述べている。

CISA、マイクロソフトのクラウドに特化したガイダンスを公開

　CISAは、被害者がこのような「to-cloud」のエスカレーションに対処できるように、マイクロソフトベースのクラウド・セットアップを検索してこのグループの活動の痕跡を探し、サーバーを修復する方法についてのガイダンスを掲載した2つ目のアドバイザリーを本日発表しました。

　CISAは、このガイダンスは、SolarWindsのハッカーがクラウドリソースを制御するために利用した「最初のアクセスベクトルに関係なく」適用されるものであり、最初のアクセスベクトルがトロイの木馬化されたOrionアプリやパスワード推測/スプレー攻撃であったとしても適用されるべきであると述べています。

　ガイダンスでは、昨年のSolarWindsの違反調査の際にCISAが公開したツールで、Azure Microsoft 365環境で漏洩した可能性のあるアカウントやアプリケーションを被害者が検出するのに役立つSparrowも参照しています。

　セキュリティ企業のCrowdStrikeも同様のツール「CST」をリリースしている。

ーーーーーーーーーーーーSolarWindsのアップデートーーーーーーーーーー

ソーラーウインズ。学べば学ぶほど、見た目が悪くなる

CISA。米国の政府機関はすぐに更新しなければならない

第二のハッキンググループはSolarWindsシステムを標的にしています。

ハッカーがマイクロソフトのソースコードにアクセス

マイクロソフトはトロイの木馬化したアプリを隔離

マイクロソフトは40以上の犠牲者を確認し、そのほとんどが米国内にある

マイクロソフトと業界のパートナーがハッキングで使用されたキードメインを押収

SECのファイリング。18,000人の顧客が影響を受ける

違反はマーケティングのチャンスではない

はてなブックマーク