Logo
x logo
2024-11-24

「Nearest Neighbor Attack」とは?ロシアのAPT集団が新手法を使ってウクライナの組織を攻撃。

要約

ロシアのAPT集団「GruesomeLarch」が、標的組織の近隣にあるWi-Fiネットワークを悪用する新しい攻撃手法「Nearest Neighbor Attack」を使って、ウクライナ関連プロジェクトに関与する組織「Organization A」に侵入したことが明らかになった。攻撃者は、近隣組織の二重接続システムを経由してOrganization Aのネットワークに不正アクセスし、資料の窃取や痕跡の隠蔽などを行った。

このニュースのスケール度合い
9.0
/10
インパクト
9.0
/10
予想外またはユニーク度
8.5
/10
脅威に備える準備が必要な期間が時間的にどれだけ近いか
8.5
/10
このニュースを見て行動が起きるあるいは行動すべき度合い
8.5
/10

詳細分析

主なポイント

  • ロシアのAPT集団「GruesomeLarch」が新しい攻撃手法「Nearest Neighbor Attack」を使って、ウクライナ関連プロジェクトに関与する組織「Organization A」に侵入した
  • 攻撃者は、近隣組織の二重接続システムを経由してOrganization Aのネットワークに不正アクセスし、資料の窃取や痕跡の隠蔽などを行った
  • Volexityの調査により、攻撃者が近隣組織「Organization B」と「Organization C」も侵害していたことが明らかになった

社会的影響

  • この攻撃手法は、組織のネットワークセキュリティに新たな脅威をもたらす可能性がある
  • 近隣組織の侵害を通じた攻撃は、サプライチェーンセキュリティの重要性を示している
  • 攻撃者の高度な技術と粘り強さは、サイバー攻撃の進化を示している

編集長の意見

この攻撃手法は、従来のネットワークセキュリティ対策では防ぐことが難しい新しい脅威です。組織は、Wi-Fiネットワークの強化、ネットワークセグメンテーション、ログ管理の強化など、多角的なセキュリティ対策を講じる必要がありますが、まず自社のWiFiネットワークに繋げられるPCをMACアドレスフィルタリングするなど初歩的なところからだけでも行ったほうがいいです。自社だけ守っているように思えても周りの他の企業にセキュリティホールがあると侵入される可能性が高いものです。元の記事も気合が入った超長文ですので、日曜日の昼下がり、まったりとまとめてみました。

解説

「Nearest Neighbor Attackの手法」

【攻撃手法のステップ】

  1. 初期侵入フェーズ
  • 標的組織の認証可能なWeb サービスに対してパスワードスプレー攻撃を実行
  • 有効な認証情報を取得(ただしMFAで保護されているため直接アクセスは不可)
  1. 近隣組織への侵入フェーズ(目的の組織に直接入れないので標的の近くの他の組織を探索)

  • 標的組織の物理的に近い場所にある組織を特定

  • それらの組織のネットワークに侵入

  • デュアルホーム(有線・無線両方に接続可能な)システムを探索

デュアルホームシステムとは

デュアルホームシステムは、2つ以上のネットワークインターフェースを持つコンピュータシステムです。 具体的には、 ・有線LANポート経由でネットワークに接続 ・同時にWi-Fiアダプタも搭載 ・両方のネットワークに同時に接続可能な状態できるようなもので、例えばノートPC(有線LAN + 内蔵Wi-Fi) ・デスクトップPC(有線LAN + Wi-Fiアダプタ) ・開発用サーバー(複数のNIC搭載) と言ったものをデュアルホームシステムといいます。

  1. Wi-Fi経由の侵入フェーズ
  • デュアルホームシステムのWi-Fiアダプタを使用
  • 取得した認証情報で標的組織のエンタープライズWi-Fiに接続
  • 内部ネットワークへアクセス  
なぜデュアルホームシステムを使用したのか?
  • 攻撃者は物理的に遠隔地にいるため、直接Wi-Fiに接続できない
  • デュアルホームシステムを「中継地点」として使用
  • 有線LAN経由でリモート制御しながら、そのPCのWi-Fiアダプタを操作可能
どうやってWi-Fi接続ができたのか?

  • PowerShellスクリプトを使用して周辺のWi-Fiネットワークをスキャン

  • 標的組織のSSIDを特定

  • パスワードスプレー攻撃で取得済みの認証情報を使用

  • デュアルホームシステムのWi-Fiアダプタから標的のWi-Fiネットワークに接続

  1. 内部活動フェーズ
  • Living-off-the-land手法を使用(標準Windowsツールの悪用)
  • 横方向移動による権限昇格
  • データ窃取と痕跡消去

【接続後の展開】

攻撃者は、

  • 遠隔地からでも標的組織のWi-Fiネットワークに「物理的に」接続したのと同じ状態を実現
  • 内部ネットワークへのアクセスを獲得
  • MFAを回避(Wi-Fiアクセスにはパスワードのみ要求)

【なぜこの手法が効果的か】

「MFA回避」これに尽きます 多くの組織がVPNやリモートアクセスにMFAを導入
しかしWi-Fiアクセスは従来型の認証(ユーザー名/パスワードのみ)
この差異を突いた攻撃なのです。
攻撃者にとっては、「物理的な制約の克服」という大きなメリットがある
通常、Wi-Fi接続には物理的な近接性が必要です。
しかし、デュアルホームシステムを「プロキシ」として使用することで、この制約を回避し、
遠隔地からでも「近接アクセス」と同等の攻撃が可能ということなのです。

色々【推奨される対策】を探しましたが、基本WiFiのパスワードは盗まれるものという前提にたって
考えてください。WiFi接続でMACアドレスフィルタリングができると思いますので、まずはそれを実践してください。
夜間、土日WiFi繋がったままのPCがそのまま置かれているようなオフィスは、「攻撃者のためのPC」が机の上に置かれている もの。と思うようにしてください。

背景情報

  • この攻撃は2022年2月のロシアのウクライナ侵攻直前に発生したもので、Volexityが調査を行った
  • 攻撃者は、Organization Aのネットワークに直接アクセスできなかったため、近隣組織のWi-Fiネットワークを悪用して侵入した
  • 攻撃者は、二重接続システムを使ってOrganization Aのネットワークに不正アクセスし、痕跡を消去するなどの高度な手法を使った
世界のセキュリティ最前線
Packet News 一覧へ