Uber侵害2022：組織全体のシステム乗っ取りを引き起こす破壊的なサイバー攻撃を検出

9月15日、Uberは、組織の全体に影響を及ぼしたサイバーセキュリティ攻撃があったことを正式に確認しました。セキュリティ調査によると、組織のシステムは深刻なハッキングを受け、攻撃者が会社の重要なインフラにアクセスするために水平移動しました。このサイバーセキュリティ事件は、Uberのシステムに侵入したと主張する若いハッカーが、メールダッシュボードやSlackサーバーを含む組織の重要資産の脆弱性レポートやスクリーンショットを共有したことから公になりました。この機密情報は、バグバウンティプラットフォームのHackerOneで公開されました。

HackerOneの脆弱性レポートにより、敵対者がシステムの内部ネットワークに侵入し、Amazon Web Servicesコンソール、VMware vSphere/ESXi仮想マシン、Google Workspace管理者ダッシュボードに影響を及ぼしたことが確認されました。

Uberブリーチ2022関連の悪意のある活動を検出

Sigmaルール SOC Primeの開発者によって開発され、セキュリティ専門家がMFA関連の失敗を含む攻撃に耐えることができるようにします。

Okta 可能性のあるMFA/2FAフラッディング/スパミング/フィッシング（via user_auth）

Azure 可能性のあるMFA/2FAフラッディング/スパミング/フィッシング（via azuread）

上記の検出コンテンツは MITRE ATT&CK®フレームワークに準拠しています。セキュリティ専門家は、複数のSIEM、EDR、XDRフォーマットを簡単に切り替えて、26のセキュリティソリューションに適用できるルールソースコードを取得できます。

SOC PrimeのDetection as Codeプラットフォームは、最新のUberブリーチに関連する悪意のある行動を特定するためにセットのSigmaルールをキュレートしています。以下の 検出を探す ボタンをクリックすると、登録なしでサイバー脅威検索エンジンから直接、専用の検出に即座にアクセスし、関連するサイバー脅威の文脈に飛び込むことができます。

検出を探す  

Uberブリーチ2022分析

Uberのシステムの侵害に関するニュースレポートに基づくと、攻撃者は同社の従業員の1人を騙してパスワードを共有させ、ターゲットへの初期アクセスを可能にしました。犯罪ハッカーはその後、MFA疲労攻撃を開始し、作業者のSlackアカウントを侵害して、他の従業員に会社がデータ侵害を受けたことを告知するメッセージを送信しました。これに応じて、Uberは内部通信に対するSlackのアクセスを制限しました。他に侵害されたサービスには、Google Cloud Platform、OneLogin、SentinelOne事故対応ポータル、およびAWSがあります。

いくつかのセキュリティ研究者は、すでにこの侵害を「完全なセキュリティの妥協」と主張し、攻撃者が会社のソースコードをオンラインで公開する可能性もあるとしていますが、大手技術企業の代表者たちは、メディアチャネルで始まった「火を消す」試みにもかかわらず、この問題に関するスタンスは、Uber以外のセキュリティアナリストが述べている物語とは異なり、脅威アクターが機密データにアクセスしたという証拠がないと主張しています。

インシデント以前に、 インフォスティーラー から収集されたログが地下市場に出品されました。Uber従業員に対するこれらの攻撃で使用されたインフォスティーラーは Raccoon and Vidarです。証拠は、攻撃者が入手したデータを使用してUberのネットワーク内を水平移動したことを示唆しています。

脅威アクターの動機はまだ明らかにされていませんが、UberのSlackのチャネルで共有された彼のメッセージには、ドライバーへのより良い給与の要求が含まれていました。Uberの代表者は、事件が現在調査中であるという理由で、これ以上の更新を公にリリースしていません。

ソーシャルエンジニアリングの技術が増加しています。この攻撃は、犯罪ハッカーが攻撃において人間の要因を活用するためのより洗練されたアプローチを集める傾向を反映するものです。緊急時には大胆な対策が必要です！SOC Primeと協力して、グローバルなサイバーセキュリティ専門家のコミュニティの力で脅威検出能力とセキュリティ姿勢を強化しましょう。また、に貢献することで、共同専門知識の充実も図れます。 SOC Primeのクラウドソーシングイニシアチブ。SigmaとYARAのルールを開発して提出し、プラットフォームに公開され、入力に対して定期的な報酬を受け取れます。