【概要】
■UNC2452の攻撃の特徴
1. Active Directory フェデレーションサービス(ADFS)のトークン署
名証明書を盗み、それを使用して任意のユーザーのトークンを偽造す
る(Golden SAML)。
2. Azure AD で信頼できるドメインを変更または追加して、攻撃者が制
御する新しい連携型 Identity Provider (IdP) を追加する。
3. グローバル管理者やアプリケーション管理者など、高い特権を持つデ
ィレクトリの役割を持つ Microsoft 365 に同期されているオンプレ
ミスのユーザーアカウントの資格情報を侵害する。
4. 電子メールの読み取り、任意のユーザーとしての電子メールの送信、
ユーザーカレンダーへのアクセスなどを行う。
【ブログ】
◆Remediation and Hardening Strategies for Microsoft 365 to Defend Against UNC2452 (FireEye, 2021/01/19)
[UNC2452に対抗するためのMicrosoft 365の修復と要塞化戦略]
https://www.fireeye.com/blog/threat-research/2021/01/remediation-and-hardening-strategies-for-microsoft-365-to-defend-against-unc2452.html
【関連まとめ記事】
◆Golden SAML (まとめ)
https://malware-log.hatenablog.com/entry/Golden_SAML