قامت Microsoft بتعقب تجاوز مصادقة متطور لخدمات Active Directory Federated Services (AD FS) ، التي كانت رائدة من قبل مجموعة Nobelium المرتبطة بروسيا.
منحت البرامج الضارة التي سمحت بتجاوز المصادقة - والتي أطلق عليها Microsoft MagicWeb - لـ Nobelium القدرة على زرع باب خلفي على خادم AD FS الخاص بالعميل غير المسمى ، ثم استخدام الشهادات المصممة خصيصًا لتجاوز عملية المصادقة العادية. قام المستجيبون للحوادث في Microsoft بجمع بيانات حول تدفق المصادقة ، والتقاط شهادات المصادقة التي يستخدمها المهاجم ، ثم إجراء هندسة عكسية لكود الباب الخلفي.
لم يكن المحققون الثمانية يركزون "كثيرًا على المخترقين بقدر ما يركزون على كيفية القيام بذلك" ، فريق الاكتشاف والاستجابة في Microsoft (DART) ورد في منشورها الخاص بسلسلة الهجمات الإلكترونية في الاستجابة للحوادث.
صرحت الشركة أن "مهاجمي الدولة القومية مثل Nobelium لديهم على ما يبدو دعمًا نقديًا وتقنيًا غير محدود من راعيهم ، بالإضافة إلى إمكانية الوصول إلى أساليب وتقنيات وإجراءات القرصنة الفريدة والحديثة". "على عكس معظم الممثلين السيئين ، يغير نوبلوم مهنتهم على كل آلة يلمسونها تقريبًا."
يؤكد الهجوم على التطور المتزايد لمجموعات APT ، التي استهدفت بشكل متزايد سلاسل توريد التكنولوجيا ، مثل SolarWinds خرق و أنظمة الهوية.
"ماستر كلاس" في الشطرنج السيبراني
استخدم MagicWeb شهادات ذات امتيازات عالية للتنقل أفقياً عبر الشبكة من خلال الحصول على حق الوصول الإداري إلى نظام AD FS. AD FS عبارة عن نظام أساسي لإدارة الهوية يوفر طريقة لتنفيذ تسجيل الدخول الأحادي (SSO) عبر أنظمة السحابة المحلية والجهات الخارجية. قالت Microsoft إن مجموعة Nobelium قامت بإقران البرامج الضارة بمكتبة ارتباط ديناميكي خلفي (DLL) مثبتة في Global Assembly Cache ، وهي جزء غامض من بنية .NET الأساسية.
MagicWeb ، والتي وصفت شركة Microsoft لأول مرة في أغسطس 2022، على أدوات سابقة لما بعد الاستغلال ، مثل FoggyWeb ، والتي يمكنها سرقة الشهادات من خوادم AD FS. مسلحين بهذه الأشياء ، يمكن للمهاجمين شق طريقهم في عمق البنية التحتية التنظيمية ، واستخراج البيانات على طول الطريق ، واقتحام الحسابات ، وانتحال هوية المستخدمين.
يُظهر مستوى الجهد المطلوب للكشف عن أدوات وتقنيات الهجوم المتطورة أن المستويات العليا من المهاجمين تتطلب من الشركات أن تلعب أفضل دفاع لها ، وفقًا لمايكروسوفت.
صرحت الشركة أن "معظم المهاجمين يلعبون لعبة الداما المثيرة للإعجاب ، ولكننا نرى بشكل متزايد لاعبين متقدمين ومستمرين يلعبون لعبة شطرنج على مستوى المحترفين". "في الواقع ، لا يزال نوبليوم نشطًا للغاية ، حيث ينفذ حملات متعددة بالتوازي تستهدف المنظمات الحكومية والمنظمات غير الحكومية والمنظمات الحكومية الدولية (IGOs) ومراكز الفكر في جميع أنحاء الولايات المتحدة وأوروبا وآسيا الوسطى."
امتيازات محدودة لأنظمة الهوية
تحتاج الشركات إلى التعامل مع أنظمة AD FS وجميع موفري الهوية (IdPs) كأصول مميزة في نفس الطبقة الوقائية (Tier 0) مثل وحدات التحكم بالمجال ، حسبما ذكرت Microsoft في استشاري الاستجابة للحوادث. تحدد هذه الإجراءات من يمكنه الوصول إلى هؤلاء المضيفين وما يمكن أن يفعله هؤلاء المضيفون على الأنظمة الأخرى.
بالإضافة إلى ذلك ، فإن أي تقنيات دفاعية ترفع تكلفة العمليات للمهاجمين الإلكترونيين يمكن أن تساعد في منع الهجمات ، حسبما ذكرت Microsoft. يجب على الشركات استخدام المصادقة متعددة العوامل (MFA) عبر جميع الحسابات في جميع أنحاء المنظمة والتأكد من أنها تراقب تدفقات بيانات المصادقة لتتمكن من رؤية الأحداث المشبوهة المحتملة.
- محتوى مدعوم من تحسين محركات البحث وتوزيع العلاقات العامة. تضخيم اليوم.
- بلاتوبلوكشين. Web3 Metaverse Intelligence. تضخيم المعرفة. الوصول هنا.
- المصدر https://www.darkreading.com/vulnerabilities-threats/magicweb-mystery-highlights-nobelium-attacker-sophistication
- 7
- a
- القدرة
- الوصول
- وفقا
- الحسابات
- في
- نشط
- الجهات الفاعلة
- Ad
- إضافة
- إداري
- متقدم
- استشاري
- الكل
- و
- APT
- مسلح
- آسيا
- جمعية
- ممتلكات
- مهاجمة
- الهجمات
- أغسطس
- التحقّق من المُستخدم
- الباب الخلفي
- سيئة
- أفضل
- خرق
- كسر
- بنيت
- مخبأ
- تسمى
- الحملات
- اسر
- مركزي
- آسيا الوسطى
- الشهادات
- الشهادات
- السلاسل
- التغييرات
- شطرنج
- سحابة
- الكود
- الشركات
- حول الشركة
- التكلفة
- استطاع
- زبون
- الانترنت
- هجوم الانترنت
- DART
- البيانات
- عميق
- الدفاع
- دفاعي
- وصف
- كشف
- نطاق
- إلى أسفل
- ديناميكي
- جهد
- أوروبا
- أحداث
- كل
- تنفيذ
- الاسم الأول
- تدفق
- يطفو
- ركز
- تبدأ من
- FS
- كسب
- لعبة
- العالمية
- حكومة
- تجمع
- مجموعات
- القرصنة
- مساعدة
- ويبرز
- جدا
- المضيفين
- HTTPS
- هوية
- إدارة الهوية
- تحقيق
- مثير للإعجاب
- in
- حادث
- استجابة الحادث
- في ازدياد
- على نحو متزايد
- البنية التحتية
- تثبيت
- المحققون
- مستوى
- المكتبة
- مما سيحدث
- LINK
- آلة
- جعل
- البرمجيات الخبيثة
- إدارة
- فئة رئيسية
- الإجراءات
- MFA
- مایکروسافت
- تقدم
- نقدي
- مراقبة
- أكثر
- خطوة
- مصادقة متعددة العوامل
- متعدد
- سر
- حاجة
- صاف
- شبكة
- المنظمات غير الحكومية
- عادي
- عروض
- عمليات
- منظمة
- التنظيمية
- المنظمات
- أخرى
- يقترن
- موازية
- قطعة
- رائدة
- المنصة
- أفلاطون
- الذكاء افلاطون البيانات
- أفلاطون داتا
- بلايستشن
- لعب
- محتمل
- منع
- سابق
- متميز
- الامتيازات
- الإجراءات
- عملية المعالجة
- الحماية والوقاية
- مقدمي
- رفع
- بقايا
- تطلب
- استجابة
- قال
- نفسه
- مسلسلات
- خوادم
- خدماتنا
- ينبغي
- يظهر
- عزباء
- So
- متطور
- خصيصا
- رعاية
- ذكر
- هذه
- تزويد
- سلاسل التوريد
- الدعم
- مشكوك فيه
- نظام
- أنظمة
- التكتيكات
- الدبابات
- المستهدفة
- استهداف
- فريق
- تقني
- تقنيات
- تكنولوجيا
- •
- من مشاركة
- طرف ثالث
- التهديد
- الجهات التهديد
- عبر
- طوال
- صف
- إلى
- أدوات
- تواصل
- علاج
- كشف
- فريد من نوعه
- غير محدود
- غير مسمى
- us
- تستخدم
- المستخدمين
- رؤية
- ابحث عن
- التي
- من الذى
- زفيرنت