攻撃者は、オープンソース フレームワーク AzureHound と ROADtools を使用して、Microsoft Entra ID 環境で偵察を実施しました。
また、侵害された環境で新しく作成された仮想マシンにカスタム トラフィック トンネリング ツールを展開し、ADFS サーバーから秘密キーを盗み、365 ユーザーが信頼する「ゴールデン SAML トークン」を鋳造しました。
Microsoftは、「正当なユーザーにとって有用なAzureHounとRoadtoolの機能は、…に関する情報、または…からの情報を求める攻撃者にとっても、これらのツールを魅力的な選択肢にする」と述べた。
コメント