2021 年 10 月 30 日 Josh Stuifbergen 著

Microsoft Threat Intelligence Center（MSTIC）は、Nobelium グループによる IT サービスプロバイダを狙った攻撃を検知しました。その目的は、クラウドサービスプロバイダ（CSP）やマネージドサービスプロバイダ（MSP）などといった「ダウンストリームの顧客へのアクセスを得る」ことでした。Nobelium は、2020 年に起きた SolarWinds 侵害事件の背後にいた攻撃者でもあります。

MSTIC では、Nobelium グループが 4 つの別々のプロバイダを侵害して 1 つのエンドターゲットへのアクセスを獲得しようとした例を紹介しています。

Nobelium の手法について紹介する MSTIC の画像

Nobelium は SolarWinds を侵害した時と同様、価値の高い標的に焦点を当てています。SolarWinds の顧客に対しては、バックドア付きのソフトウェアアップデートを利用して不正アクセスを試みたのに対し、今回は IT プロバイダを対象に、顧客のアセットを管理する管理者レベルの認証情報を狙いました。このグループは、スピアフィッシングやトークン窃盗などのいくつかの手段を用いて、IT プロバイダのシステム管理者レベルのアクセス権を持つと思われるユーザアカウントを標的にしました。 IT プロバイダ各社は、Nobelium のような持続的な脅威に対して常に警戒する必要があります。

Microsoft は、企業がシステムを強化するためのアドバイスを提供しています。具体的には、多要素認証ツールの活用、コンプライアンスポリシーの見直しと徹底、特に管理者アクセスに関して、権限を最小にする原則の遵守などを推奨しています。対策の詳細については、Microsoft のブログ記事(英文)をご覧ください。