Microsoftが警告　ハッキング集団「Volt Typhoon」の手口と対処法：マルウェアを使わない"living-off-the-land"な攻撃

　Volt Typhoonは、インターネットに接続されたUTM（総合脅威管理）製品の「Fortinet FortiGuard」を通じて、標的の組織へアクセスする。フォーティネットデバイスから与えられる権限を悪用し、デバイスが使用するActive Directoryアカウントの認証情報を抽出、その認証情報を使用してネットワーク上の他のデバイスの認証を試みる。

　Volt Typhoonは、攻撃対象の組織との全ての通信で、別途侵害したSOHOネットワークデバイスをプロキシとして使う。Microsoftは、ASUS、Cisco、D-Link、NETGEAR、Zyxel製を含む多くのデバイスで、所有者がHTTPまたはSSH管理インタフェースをインターネットに公開できるようになっていることを確認したという。

　「ネットワークエッジデバイスの所有者は、攻撃対象領域を減らすために、管理インタフェースがパブリックインターネットに公開されないようにする必要がある」とMicrosoftは注意を促している。

侵入後の動き

　Volt Typhoonがターゲット環境にアクセスした後、コマンドラインを通じて実際にキーボードを操作し攻撃を開始する。攻撃者はコマンドを調整したり、繰り返したりしていることから、探索的または実験的な試みも行われているようだとしている。

　Volt Typhoonは、この手口においてほとんどマルウェアを使用しない。代わりに、システムの情報を見つけたり、ネットワーク上の追加のデバイスを発見したり、データを外部へ持ち出すために、"living-off-the-land"（システム内の既存のツールや機能を利用する手法）のコマンドに依存しているという。

攻撃に有効なセキュリティ対策

　Microsoftはこの一連の攻撃手法に対し、ハードウェアセキュリティキーまたはMicrosoft Authenticatorを使用した多要素認証（MFA）ポリシーの強制を対策として挙げている。また、パスワードレスのサインイン、パスワードの期限切れルール、未使用のアカウントの非活性化なども対応策になり得るという。

　また、Microsoftの利用者は下記の攻撃対象削減ルールを有効にすることで、この脅威に関する活動の一部をブロックしたり監査したりすることができるとした。

• Windowsのローカルセキュリティ権限サブシステム（lsass.exe）からの資格情報の窃取をブロックする
• PSExecおよびWMIコマンドから生成されたプロセス作成をブロックする
• 潜在的に難読化されたスクリプトの実行をブロックする