マイクロソフトによると、これらの攻撃は、複数の仮想プライベートサーバー(VPS)へのアクセスに加え、クラウドインフラストラクチャのレンタル、プロキシ、分散型サービス拒否(DDoS)攻撃ツールを組み合わせて利用しているとのことです。Storm-####(旧称DEV-####)は、Windowsの所有者が、身元や所属が明確に確認されていない未確認、新興、または発展途上のグループに割り当てる一時的な名称です。
顧客データへの不正アクセスの証拠はなかったものの、マイクロソフトは攻撃により一部サービスの可用性が一時的に低下したと発表しました。レドモンドに本社を置く同社は、このグループが複数のクラウドサービスとオープンプロキシインフラからレイヤー7 DDoS攻撃を仕掛けているのを確認したと発表しました。
これは、大量の HTTP(S) リクエストによる標的のサービスへの大量攻撃です。攻撃者は、Slowloris と呼ばれる手法を使用して、CDN レイヤーをバイパスし、サーバーに過負荷をかけようとします。
Microsoft のセキュリティ レスポンス センター (MSRC) は、これらの DDoS 攻撃は、クライアントが Web サーバーへの接続を開き、リソース (画像など) を要求しながらダウンロードの確認に失敗したり、受け入れを遅らせたりすることで発生し、サーバーが接続を開いたままにして、要求されたリソースをメモリ内に保持することを強制すると述べています。
アノニマス・スーダンがマイクロソフトサービスへのDDoS攻撃の責任を主張。
その結果、Outlook、Teams、SharePoint Online、OneDrive for BusinessなどのMicrosoft 365サービスは5月上旬に障害が発生し、同社はリクエストレートの急増から異常を検知したと述べています。トラフィック分析の結果、多数のHTTPリクエストが既存の自動保護を回避し、サービス利用不可の応答をトリガーしたことが明らかになりました。
ハッカー集団「アノニマス・スーダン」が攻撃の犯行声明を出したが、マイクロソフトはStorm-1359との関連性を否定した。アノニマス・スーダンは今年初めから、スウェーデン、オランダ、オーストラリア、ドイツの組織に対してDDoS攻撃を仕掛けていた。
Trustwaveのアナリストによると、このグループはロシアのKillNetと公然とリンクしており、KillNetはイスラム教の保護を攻撃の正当化として頻繁に利用している。KillNetはまた、Microsoft Azureでホストされている医療機関を標的としたDDoS攻撃でも注目を集めており、2023年2月には1日あたり約60件の攻撃が発生した。
Anonymous SudanはKillNetおよびREvilと共謀して「ダークネット議会」を結成し、欧州および米国の金融機関に対するサイバー攻撃を組織的に実行し、SWIFTの運用を麻痺させることを主な目的としていました。Flashpointの記録によると、KillNetの動機は主に金銭的なもので、ロシアの支援を利用してレンタルDDoSサービスを推進していました。
[広告2]
ソースリンク
コメント (0)