0mega ランサムウェア グループは、侵害されたエンドポイントを使用することなく、企業の SharePoint Online 環境に対する恐喝攻撃を成功させました。これが通常の攻撃の展開方法です。 代わりに、脅威グループは、安全性の弱い管理者アカウントを使用して、匿名の会社の環境に侵入し、権限を昇格させ、最終的には被害者の SharePoint ライブラリから機密データを抽出したようです。 このデータは、被害者に身代金を支払うよう強要するために使用されました。
おそらくこの種の攻撃としては初めて
セキュリティ企業オブシディアンの共同創設者兼CPOであるグレン・チザム氏は、ランサムウェアの脅威に対処する企業の取り組みの多くはエンドポイント保護メカニズムに焦点を当てる傾向があるため、この攻撃は注目に値すると述べている。 攻撃を発見した.
「企業は、エンドポイント セキュリティへの投資を通じて、ランサムウェア グループの攻撃を完全に防止または軽減しようと努めてきました」とチザム氏は言います。 「今回の攻撃は、多くの企業が現在、SaaS アプリケーションにデータを保存してアクセスしているため、エンドポイントのセキュリティだけでは不十分であることを示しています。」
Obsidian が観察した攻撃は、0mega グループの攻撃者が、被害組織の Microsoft グローバル管理者の XNUMX 人が所有する、安全性が不十分なサービス アカウントの資格情報を取得することから始まりました。 侵害されたアカウントは公共のインターネットからアクセスできただけでなく、多要素認証 (MFA) も有効になっていませんでした。これは、特に特権アカウントにとって基本的なセキュリティの必要性であるとほとんどのセキュリティ専門家が同意しています。
攻撃者は、侵害されたアカウントを使用して、やや厚かましくも「0mega」という名前の Active Directory ユーザーを作成し、環境に大混乱を引き起こすために必要なすべての権限を新しいアカウントに付与しました。 これらには、全体管理者、SharePoint 管理者、Exchange 管理者、および Teams 管理者になるためのアクセス許可が含まれます。 さらに有効な手段として、攻撃者は侵害された管理者資格情報を使用して、組織の SharePoint Online 環境内でいわゆるサイト コレクション管理者機能を 0mega アカウントに付与し、他の既存の管理者をすべて削除しました。
SharePoint で言えば、 サイト コレクションは Web サイトのグループです 管理設定を共有し、同じ所有者を持つ Web アプリケーション内で。 サイトコレクション より一般的になる傾向があります 複数のビジネス機能や部門を持つ大規模な組織、または非常に大規模なデータ セットを持つ組織間で。
Obsidian が分析したこの攻撃では、0mega 攻撃者が侵害された管理者資格情報を使用して、200 時間以内に約 XNUMX の管理者アカウントを削除しました。
攻撃者は、自己に割り当てた権限を利用して、組織の SharePoint Online ライブラリから数百のファイルを取得し、ロシアの Web ホスティング会社に関連する仮想プライベート サーバー (VPS) ホストに送信しました。 流出を容易にするために、脅威アクターは「sppull」と呼ばれる公開されている Node.js モジュールを使用しました。これにより、開発者は HTTP リクエストを使用して SharePoint リソースと対話できるようになります。 管理者がこのモジュールについて説明しているように、sppull は「SharePoint からファイルをプルおよびダウンロードするための単純なクライアント」です。
流出が完了すると、攻撃者は「」と呼ばれる別のnode.jsモジュールを使用しました。だ」と言って、何千ものテキスト ファイルを被害者の SharePoint 環境にアップロードし、基本的に何が起こったのかを組織に知らせました。
エンドポイントの侵害なし
通常、SaaS アプリケーションをターゲットとした攻撃では、ランサムウェア グループがエンドポイントを侵害し、必要に応じて横方向の移動を利用してファイルを暗号化または窃取する、とチザム氏は言います。 「このケースでは、攻撃者は侵害された資格情報を使用して SharePoint Online にログインし、新しく作成したアカウントに管理者権限を付与し、VDSinra.ru が提供するレンタル ホスト上のスクリプトを使用して、その新しいアカウントからのデータ抽出を自動化しました。」 攻撃者は、エンドポイントを侵害したり、ランサムウェア実行可能ファイルを使用したりすることなく、攻撃全体を実行しました。 「私たちの知る限り、これは自動化された SaaS ランサムウェア恐喝が発生したとして公的に記録された初めての事例です」と彼は言います。
Chisholm 氏は、Obsidian が過去 XNUMX か月間にエンタープライズ SaaS 環境を標的とした攻撃を観測した回数は、過去 XNUMX 年間の合計よりも多いと述べています。 攻撃者の関心の高まりの多くは、組織がエンドポイントテクノロジーと同様の制御を実装せずに、規制対象情報、機密情報、その他の機密情報をSaaSアプリケーションに組み込むことが増えているという事実に起因していると同氏は言う。 「これは、悪意のある者による最新の脅威手法にすぎません」と彼は言います。 「組織は準備を整え、SaaS 環境全体にわたって適切なプロアクティブなリスク管理ツールを確実に導入する必要があります。」
他の人も同様の傾向を観察したと報告しています。 AppOmni によると、 SaaS 攻撃が 300% 増加 1 年 2023 月 48 日以降、Salesforce コミュニティ サイトおよびその他の SaaS アプリケーションで利用できるようになりました。 主な攻撃ベクトルには、過剰なゲスト ユーザー権限、過剰なオブジェクトおよびフィールド権限、MFA の欠如、機密データへの過剰な特権アクセスが含まれます。 オダセバが昨年実施した調査では、回答者の 12% が、自分の組織が過去 XNUMX か月間にランサムウェア攻撃を経験したと回答しており、 SaaSデータがターゲットだった 攻撃の半分以上 (51%) で。
- SEO を活用したコンテンツと PR 配信。 今日増幅されます。
- EVMファイナンス。 分散型金融のための統一インターフェイス。 こちらからアクセスしてください。
- クォンタムメディアグループ。 IR/PR増幅。 こちらからアクセスしてください。
- プラトアイストリーム。 Web3 データ インテリジェンス。 知識増幅。 こちらからアクセスしてください。
- 情報源: https://www.darkreading.com/cloud/researchers-report-first-instance-of-automated-saas-ransomware-extortion
- :持っている
- :は
- :not
- 1
- 12
- 12か月間
- 200
- 2023
- 7
- a
- アクセス
- アクセス可能な
- アクセス
- 従った
- アカウント
- 越えて
- アクティブ
- 俳優
- NEW
- 住所
- 管理人
- 行政の
- 管理者
- に対して
- すべて
- ことができます
- また
- 間で
- an
- 分析
- および
- 別の
- 登場する
- 申し込み
- です
- AS
- 関連する
- At
- 攻撃
- 攻撃
- 注意
- 認証
- 自動化
- 利用できます
- 悪い
- 基本
- 基本的に
- BE
- なぜなら
- き
- 始まった
- BEST
- ビジネス
- ビジネス機能
- by
- 呼ばれます
- 機能
- 場合
- クライアント
- 共同 - 創設者
- コレクション
- コレクション
- 組み合わせた
- コミュニティ
- 企業
- 会社
- コンプリート
- 妥協
- 損害を受けた
- 妥協する
- 実施
- controls
- 作ります
- 作成した
- クレデンシャル
- Credentials
- データ
- データセット
- 部署
- 説明する
- 開発者
- DID
- ダウンロード
- 努力
- エレベート
- 使用可能
- エンドポイント
- エンドポイントのセキュリティ
- 十分な
- 確保
- Enterprise
- 全体
- 完全に
- 環境
- 環境
- 特に
- 最終的に
- 交換
- 実行された
- 流出
- 既存の
- 経験豊かな
- 専門家
- ゆすり
- 容易にする
- 実際
- フィールド
- 会社
- 名
- フォーカス
- から
- 機能
- グローバル
- 良い
- 助成金
- 付与された
- グループ
- グループの
- 成長
- ゲスト
- 持っていました
- 半分
- が起こった
- 持ってる
- he
- 助けました
- host
- ホスティング
- 認定条件
- HTTP
- HTTPS
- 何百
- 実装
- in
- 含まれました
- ますます
- 情報
- 情報に基づく
- を取得する必要がある者
- 対話
- 関心
- インターネット
- に
- インベストメント
- ISN
- IT
- ITS
- JPG
- ただ
- 種類
- 知識
- 欠如
- 大
- 姓
- 昨年
- 最新の
- 活用
- ライブラリ
- ログ
- 管理
- 管理ツール
- 多くの
- 3月
- 1月XNUMX日 XNUMX:XNUMX
- だけど
- メカニズム
- MFA
- Microsoft
- 軽減する
- モジュール
- ヶ月
- 他には?
- 最も
- 運動
- ずっと
- の試合に
- 必要
- 必要
- 必要とされる
- 必要
- 新作
- 新しく
- Node.js
- 今
- オブジェクト
- 入手
- 発生する
- of
- オフ
- on
- ONE
- オンライン
- の
- or
- 組織
- 組織
- その他
- 私たちの
- が
- 所有者
- 支払う
- 期間
- パーミッション
- 場所
- プラトン
- プラトンデータインテリジェンス
- プラトデータ
- 準備
- 防ぐ
- 前
- 主要な
- プライベート
- 特権を持つ
- 特権
- 先を見越した
- 保護
- 提供
- 公共
- 公然と
- パッティング
- 身代金
- ランサムウェア
- ランサムウェア攻撃
- RE
- 記録された
- 規制
- 削除します
- レポート
- 報告
- リクエスト
- 研究者
- リソース
- 回答者
- 右
- リスク
- リスク管理
- RU
- ロシア
- s
- SaaSの
- salesforce
- 同じ
- 格言
- 言う
- スクリプト
- セキュア
- セキュリティ
- 見ること
- 敏感な
- 送信
- サービス
- セット
- 設定
- シェアする
- 作品
- 同様の
- 簡単な拡張で
- から
- ウェブサイト
- サイト
- SIX
- 半年
- 一部
- 何か
- 幾分
- 茎
- 保存
- 勉強
- 首尾よく
- ターゲット
- チーム
- テクノロジー
- より
- それ
- アプリ環境に合わせて
- それら
- 自分自身
- その後
- そこ。
- ボーマン
- 彼ら
- 物事
- この
- 数千
- 脅威
- 脅威アクター
- 介して
- 〜へ
- 豊富なツール群
- トレンド
- 2
- 名前なし
- つかいます
- 中古
- ユーザー
- 通常
- 非常に
- 被害者
- バーチャル
- ました
- we
- ウェブ
- ウェブアプリケーション
- この試験は
- which
- 全体
- 以内
- 無し
- 年
- 年
- ゼファーネット