Microsoft har opsporet en sofistikeret autentificeringsomgåelse for Active Directory Federated Services (AD FS), som er banebrydende af den Rusland-tilknyttede Nobelium-gruppe.
Den malware, der gjorde det muligt at omgå godkendelsen - som Microsoft kaldte MagicWeb - gav Nobelium muligheden for at implantere en bagdør på den unavngivne kundes AD FS-server og derefter bruge specielt fremstillede certifikater til at omgå den normale godkendelsesproces. Microsoft-hændelsesvarere indsamlede data om godkendelsesflowet, fangede de godkendelsescertifikater, der blev brugt af angriberen, og reverse-manipulerede bagdørskoden.
De otte efterforskere var ikke fokuseret "så meget [på] en whodunit som en how-done-it", Microsofts Detection and Response Team (DART) angivet i sin Incident Response Cyberattack Series-publikation.
"Nationsstatsangribere som Nobelium har tilsyneladende ubegrænset monetær og teknisk support fra deres sponsor, samt adgang til unikke, moderne hacking-taktikker, -teknikker og -procedurer (TTP'er)," udtalte virksomheden. "I modsætning til de fleste dårlige skuespillere ændrer Nobelium deres håndværk på næsten hver maskine, de rører ved."
Angrebet understreger den stigende sofistikering af APT-grupper, som i stigende grad har målrettet teknologiforsyningskæder, såsom SolarWinds brud, og identitetssystemer.
En "mesterklasse" i cyberskak
MagicWeb brugte meget privilegerede certificeringer til at bevæge sig sideværts gennem netværket ved at få administrativ adgang til et AD FS-system. AD FS er en identitetsadministrationsplatform, der tilbyder en måde at implementere single sign-on (SSO) på tværs af lokale og tredjeparts cloud-systemer. Nobelium-gruppen parrede malwaren med et bagdørs dynamisk linkbibliotek (DLL) installeret i Global Assembly Cache, et obskurt stykke .NET-infrastruktur, sagde Microsoft.
MagicWeb, som Microsoft blev først beskrevet i august 2022, blev bygget på tidligere post-udnyttelsesværktøjer, såsom FoggyWeb, som kunne stjæle certifikater fra AD FS-servere. Bevæbnet med disse kunne angriberne komme dybt ind i organisatorisk infrastruktur, eksfiltrere data undervejs, bryde ind på konti og efterligne brugere.
Niveauet af indsats, der skal til for at afdække de sofistikerede angrebsværktøjer og -teknikker, viser, at de øverste lag af angribere kræver, at virksomheder spiller deres bedste forsvar, ifølge Microsoft.
"De fleste angribere spiller et imponerende spil dam, men i stigende grad ser vi avancerede, vedvarende trusselsaktører, der spiller et skakspil på mesterklasseniveau," udtalte virksomheden. "Faktisk forbliver Nobelium meget aktivt og udfører adskillige kampagner sideløbende rettet mod statslige organisationer, ikke-statslige organisationer (NGO'er), mellemstatslige organisationer (IGO'er) og tænketanke i hele USA, Europa og Centralasien."
Begræns privilegier for identitetssystemer
Virksomheder er nødt til at behandle AD FS-systemer og alle identitetsudbydere (IdP'er) som privilegerede aktiver i samme beskyttende niveau (Tier 0) som domænecontrollere, udtalte Microsoft i sin hændelsesreaktionsadvisering. Sådanne foranstaltninger begrænser, hvem der kan få adgang til disse værter, og hvad disse værter kan gøre på andre systemer.
Derudover kan enhver defensiv teknik, der øger omkostningerne ved operationer for cyberangribere, hjælpe med at forhindre angreb, udtalte Microsoft. Virksomheder bør bruge multifaktorautentificering (MFA) på tværs af alle konti i hele organisationen og sikre sig, at de overvåger godkendelsesdatastrømmene for at have synlighed i potentielle mistænkelige hændelser.
- SEO Powered Content & PR Distribution. Bliv forstærket i dag.
- Platoblokkæde. Web3 Metaverse Intelligence. Viden forstærket. Adgang her.
- Kilde: https://www.darkreading.com/vulnerabilities-threats/magicweb-mystery-highlights-nobelium-attacker-sophistication
- 7
- a
- evne
- adgang
- Ifølge
- Konti
- tværs
- aktiv
- aktører
- Ad
- Desuden
- administrative
- fremskreden
- rådgivende
- Alle
- ,
- APT
- væbnet
- asia
- Assembly
- Aktiver
- angribe
- Angreb
- AUGUST
- Godkendelse
- bagdør
- Bad
- BEDSTE
- brud
- Breaking
- bygget
- Cache
- kaldet
- Kampagner
- Optagelse
- central
- det centrale Asien
- certifikater
- certificeringer
- kæder
- Ændringer
- skak
- Cloud
- kode
- Virksomheder
- selskab
- Koste
- kunne
- kunde
- Cyber
- Cyber angreb
- DART
- data
- dyb
- Forsvar
- defensiv
- beskrevet
- Detektion
- domæne
- ned
- dynamisk
- indsats
- Europa
- begivenheder
- Hver
- udførelse
- Fornavn
- flow
- strømme
- fokuserede
- fra
- FS
- vinder
- spil
- Global
- Regering
- gruppe
- Gruppens
- hacking
- hjælpe
- højdepunkter
- stærkt
- værter
- HTTPS
- Identity
- identitetsstyring
- gennemføre
- imponerende
- in
- hændelse
- hændelsesrespons
- stigende
- stigende
- Infrastruktur
- installeret
- Efterforskere
- Niveau
- Bibliotek
- GRÆNSE
- LINK
- maskine
- lave
- malware
- ledelse
- Masterclass
- foranstaltninger
- MFA
- microsoft
- Moderne
- Monetære
- Overvåg
- mest
- bevæge sig
- multifaktorgodkendelse
- flere
- Mystery
- Behov
- netto
- netværk
- Ngo'er
- normal
- Tilbud
- Produktion
- organisation
- organisatorisk
- organisationer
- Andet
- parret
- Parallel
- stykke
- banebrydende
- perron
- plato
- Platon Data Intelligence
- PlatoData
- Leg
- spiller
- potentiale
- forhindre
- tidligere
- privilegeret
- privilegier
- procedurer
- behandle
- Beskyttende
- udbydere
- rejse
- resterne
- kræver
- svar
- Said
- samme
- Series
- Servere
- Tjenester
- bør
- Shows
- enkelt
- So
- sofistikeret
- specielt
- sponsorere
- erklærede
- sådan
- forsyne
- Forsyningskæder
- support
- mistænksom
- systemet
- Systemer
- taktik
- tanke
- målrettet
- rettet mod
- hold
- Teknisk
- teknikker
- Teknologier
- deres
- tredjepart
- trussel
- trusselsaktører
- Gennem
- hele
- tier
- til
- værktøjer
- behandle
- afdække
- enestående
- ubegrænset
- UNAVNT
- us
- brug
- brugere
- synlighed
- Hvad
- som
- WHO
- zephyrnet
