MagicWeb Mystery unterstreicht die Raffinesse von Nobelium Attacker

Microsoft hat eine ausgeklügelte Authentifizierungsumgehung für Active Directory Federated Services (AD FS) aufgespürt, die von der mit Russland verbundenen Nobelium-Gruppe entwickelt wurde. 

Die Malware, die die Umgehung der Authentifizierung ermöglichte – von Microsoft MagicWeb genannt – gab Nobelium die Möglichkeit, eine Hintertür auf dem AD FS-Server des namenlosen Kunden zu implantieren und dann speziell gestaltete Zertifikate zu verwenden, um den normalen Authentifizierungsprozess zu umgehen. Microsoft Incident Responder sammelten Daten zum Authentifizierungsfluss, erfassten die vom Angreifer verwendeten Authentifizierungszertifikate und entwickelten dann den Backdoor-Code zurück.

Die acht Ermittler konzentrierten sich nicht „so sehr [auf] eine Krimieinheit als auf eine Vorgehensweise“, so Microsofts Detection and Response Team (DART). heißt es in seiner Veröffentlichung Incident Response Cyberattack Series.

„Nationalstaatliche Angreifer wie Nobelium haben scheinbar unbegrenzte finanzielle und technische Unterstützung von ihrem Sponsor sowie Zugang zu einzigartigen, modernen Hacking-Taktiken, -Techniken und -Verfahren (TTPs)“, erklärte das Unternehmen. „Im Gegensatz zu den meisten schlechten Schauspielern ändert Nobelium sein Handwerk auf fast jeder Maschine, die sie berühren.“

Der Angriff unterstreicht die zunehmende Raffinesse von APT-Gruppen, die zunehmend Technologie-Lieferketten ins Visier nehmen, wie die SolarWinds Verletzung, und Identitätssysteme. 

Eine „Meisterklasse“ im Cyber-Schach

MagicWeb verwendete hochprivilegierte Zertifizierungen, um sich lateral durch das Netzwerk zu bewegen, indem es administrativen Zugriff auf ein AD FS-System erhielt. AD FS ist eine Identitätsverwaltungsplattform, die eine Möglichkeit bietet, einmaliges Anmelden (SSO) über lokale und Drittanbieter-Cloudsysteme hinweg zu implementieren. Die Nobelium-Gruppe koppelte die Malware mit einer Hintertür-DLL (Dynamic Link Library), die im Global Assembly Cache installiert ist, einem obskuren Teil der .NET-Infrastruktur, sagte Microsoft.

MagicWeb, das Microsoft erstmals im August 2022 beschrieben, wurde auf früheren Post-Exploitation-Tools wie FoggyWeb aufgebaut, die Zertifikate von AD FS-Servern stehlen konnten. Damit bewaffnet, könnten die Angreifer tief in die Unternehmensinfrastruktur eindringen, dabei Daten exfiltrieren, in Konten einbrechen und sich als Benutzer ausgeben.

Der Aufwand, der erforderlich ist, um die ausgeklügelten Angriffstools und -techniken aufzudecken, zeigt, dass die oberen Ränge der Angreifer laut Microsoft verlangen, dass Unternehmen ihre beste Verteidigung spielen.

„Die meisten Angreifer spielen ein beeindruckendes Damespiel, aber wir sehen zunehmend fortgeschrittene, hartnäckige Bedrohungsakteure, die ein Schachspiel auf Meisterklasse-Niveau spielen“, erklärte das Unternehmen. „Tatsächlich bleibt Nobelium sehr aktiv und führt parallel mehrere Kampagnen durch, die sich an Regierungsorganisationen, Nichtregierungsorganisationen (NGOs), zwischenstaatliche Organisationen (IGOs) und Denkfabriken in den USA, Europa und Zentralasien richten.“

Berechtigungen für Identitätssysteme einschränken

Unternehmen müssen AD FS-Systeme und alle Identitätsanbieter (IdPs) als privilegierte Assets in der gleichen Schutzebene (Tier 0) wie Domänencontroller behandeln, so Microsoft in seinem Incident Response Advisory. Solche Maßnahmen schränken ein, wer auf diese Hosts zugreifen kann und was diese Hosts auf anderen Systemen tun können. 

Darüber hinaus können alle Abwehrtechniken, die die Betriebskosten für Cyberangreifer erhöhen, dazu beitragen, Angriffe zu verhindern, so Microsoft. Unternehmen sollten Multifaktor-Authentifizierung (MFA) für alle Konten in der gesamten Organisation verwenden und sicherstellen, dass sie die Authentifizierungsdatenflüsse überwachen, um Einblick in potenziell verdächtige Ereignisse zu erhalten.

• SEO-gestützte Content- und PR-Distribution. Holen Sie sich noch heute Verstärkung.
• Platoblockkette. Web3-Metaverse-Intelligenz. Wissen verstärkt. Hier zugreifen.
• Quelle: https://www.darkreading.com/vulnerabilities-threats/magicweb-mystery-highlights-nobelium-attacker-sophistication