TT Malware Log

マルウェア / サイバー攻撃 / 解析技術 に関する「個人」の調査・研究・参照ログ

トップ > 攻撃組織: APT29 / CozyDuke / Cozy Bear / Nobelium / Midnight Blizzard / UNC2452 / SolarStorm / Dark Halo > Remediation and Hardening Strategies for Microsoft 365 to Defend Against UNC2452

Remediation and Hardening Strategies for Microsoft 365 to Defend Against UNC2452

攻撃組織: APT29 / CozyDuke / Cozy Bear / Nobelium / Midnight Blizzard / UNC2452 / SolarStorm / Dark Halo セキュリティ企業: FireEye ADFS(Active Directory Federation Services) 攻撃手法: Golden SAML

【概要】

■UNC2452の攻撃の特徴

1. Active Directory フェデレーションサービス(ADFS)のトークン署
名証明書を盗み、それを使用して任意のユーザーのトークンを偽造す
る(Golden SAML)。

2. Azure AD で信頼できるドメインを変更または追加して、攻撃者が制
御する新しい連携型 Identity Provider (IdP) を追加する。

3. グローバル管理者やアプリケーション管理者など、高い特権を持つデ
ィレクトリの役割を持つ Microsoft 365 に同期されているオンプレ
ミスのユーザーアカウントの資格情報を侵害する。

4. 電子メールの読み取り、任意のユーザーとしての電子メールの送信、
ユーザーカレンダーへのアクセスなどを行う。


【ブログ】

◆Remediation and Hardening Strategies for Microsoft 365 to Defend Against UNC2452 (FireEye, 2021/01/19)
[UNC2452に対抗するためのMicrosoft 365の修復と要塞化戦略]
https://www.fireeye.com/blog/threat-research/2021/01/remediation-and-hardening-strategies-for-microsoft-365-to-defend-against-unc2452.html


【関連まとめ記事】

全体まとめ
 ◆攻撃手法 (まとめ)

◆Golden SAML (まとめ)
https://malware-log.hatenablog.com/entry/Golden_SAML

Copyright (C) 谷川哲司 (Tetsuji Tanigawa) 1997 - 2023