Η Microsoft εντόπισε μια εξελιγμένη παράκαμψη ελέγχου ταυτότητας για τις Ομοσπονδιακές Υπηρεσίες Active Directory (AD FS), που πρωτοστάτησε στον όμιλο Nobelium που συνδέεται με τη Ρωσία.
Το κακόβουλο λογισμικό που επέτρεψε την παράκαμψη ελέγχου ταυτότητας - το οποίο η Microsoft ονόμασε MagicWeb - έδωσε στη Nobelium τη δυνατότητα να εμφυτεύσει μια κερκόπορτα στον διακομιστή AD FS του αγνώστου πελάτη και στη συνέχεια να χρησιμοποιήσει ειδικά κατασκευασμένα πιστοποιητικά για να παρακάμψει την κανονική διαδικασία ελέγχου ταυτότητας. Οι ανταποκριτές συμβάντων της Microsoft συνέλεξαν δεδομένα σχετικά με τη ροή ελέγχου ταυτότητας, καταγράφοντας τα πιστοποιητικά ελέγχου ταυτότητας που χρησιμοποιήθηκαν από τον εισβολέα και στη συνέχεια αναμόρφωσαν τον κώδικα της κερκόπορτας.
Οι οκτώ ερευνητές δεν επικεντρώθηκαν «τόσο [σε] ένα whodunit όσο ένα πώς να το κάνουμε», η Ομάδα Ανίχνευσης και Απόκρισης της Microsoft (DART) δήλωσε στη δημοσίευσή του Incident Response Cyberattack Series.
«Οι εισβολείς εθνικών κρατών όπως το Nobelium έχουν φαινομενικά απεριόριστη χρηματική και τεχνική υποστήριξη από τον χορηγό τους, καθώς και πρόσβαση σε μοναδικές, σύγχρονες τακτικές, τεχνικές και διαδικασίες hacking (TTP)», δήλωσε η εταιρεία. «Σε αντίθεση με τους περισσότερους κακούς ηθοποιούς, ο Nobelium αλλάζει την τέχνη τους σχεδόν σε κάθε μηχανή που αγγίζουν».
Η επίθεση υπογραμμίζει την αυξανόμενη πολυπλοκότητα των ομάδων APT, οι οποίες στοχεύουν όλο και περισσότερο στις αλυσίδες εφοδιασμού τεχνολογίας, όπως τα SolarWinds παραβίαση, και συστήματα ταυτότητας.
Ένα «Masterclass» στο Cyber Chess
Το MagicWeb χρησιμοποίησε εξαιρετικά προνομιούχες πιστοποιήσεις για να μετακινηθεί πλευρικά μέσω του δικτύου αποκτώντας πρόσβαση διαχειριστή σε ένα σύστημα AD FS. Το AD FS είναι μια πλατφόρμα διαχείρισης ταυτότητας που προσφέρει έναν τρόπο εφαρμογής single sign-on (SSO) σε συστήματα cloud εσωτερικής εγκατάστασης και τρίτων. Η ομάδα Nobelium συνδύασε το κακόβουλο λογισμικό με μια βιβλιοθήκη δυναμικής σύνδεσης (DLL) που είναι εγκατεστημένη στην κρυφή μνήμη Global Assembly, ένα σκοτεινό κομμάτι της υποδομής .NET, είπε η Microsoft.
MagicWeb, το οποίο Η Microsoft περιέγραψε για πρώτη φορά τον Αύγουστο του 2022, βασίστηκε σε προηγούμενα εργαλεία μετά την εκμετάλλευση, όπως το FoggyWeb, το οποίο μπορούσε να κλέψει πιστοποιητικά από διακομιστές AD FS. Οπλισμένοι με αυτά, οι εισβολείς θα μπορούσαν να μπουν βαθιά στην οργανωτική υποδομή, εκμεταλλεύοντας δεδομένα στην πορεία, εισβάλλοντας σε λογαριασμούς και πλαστοπροσωπώντας χρήστες.
Το επίπεδο προσπάθειας που απαιτείται για την αποκάλυψη των εξελιγμένων εργαλείων και τεχνικών επίθεσης δείχνει ότι τα ανώτερα κλιμάκια των επιτιθέμενων απαιτούν από τις εταιρείες να παίζουν την καλύτερη άμυνα τους, σύμφωνα με τη Microsoft.
«Οι περισσότεροι επιτιθέμενοι παίζουν ένα εντυπωσιακό παιχνίδι πούλι, αλλά όλο και περισσότερο βλέπουμε προχωρημένους επίμονους παράγοντες απειλών να παίζουν ένα παιχνίδι σκακιού σε επίπεδο masterclass», δήλωσε η εταιρεία. «Στην πραγματικότητα, το Nobelium παραμένει ιδιαίτερα ενεργό, εκτελώντας παράλληλα πολλαπλές εκστρατείες με στόχο κυβερνητικούς οργανισμούς, μη κυβερνητικές οργανώσεις (ΜΚΟ), διακυβερνητικούς οργανισμούς (IGOs) και δεξαμενές σκέψης σε όλες τις ΗΠΑ, την Ευρώπη και την Κεντρική Ασία».
Προνόμια περιορισμού για συστήματα ταυτότητας
Οι εταιρείες πρέπει να αντιμετωπίζουν τα συστήματα AD FS και όλους τους παρόχους ταυτότητας (IdP) ως προνομιούχα περιουσιακά στοιχεία στο ίδιο προστατευτικό επίπεδο (Tier 0) με τους ελεγκτές τομέα, δήλωσε η Microsoft στη συμβουλή της για την αντιμετώπιση περιστατικών. Τέτοια μέτρα περιορίζουν ποιος μπορεί να έχει πρόσβαση σε αυτούς τους κεντρικούς υπολογιστές και τι μπορούν να κάνουν αυτοί οι οικοδεσπότες σε άλλα συστήματα.
Επιπλέον, οποιεσδήποτε αμυντικές τεχνικές που αυξάνουν το κόστος των επιχειρήσεων για κυβερνοεπιτιθέμενους μπορούν να βοηθήσουν στην αποτροπή επιθέσεων, δήλωσε η Microsoft. Οι εταιρείες θα πρέπει να χρησιμοποιούν έλεγχο ταυτότητας πολλαπλών παραγόντων (MFA) σε όλους τους λογαριασμούς σε ολόκληρο τον οργανισμό και να διασφαλίζουν ότι παρακολουθούν τις ροές δεδομένων ελέγχου ταυτότητας για να έχουν ορατότητα σε πιθανά ύποπτα συμβάντα.
- SEO Powered Content & PR Distribution. Ενισχύστε σήμερα.
- Platoblockchain. Web3 Metaverse Intelligence. Ενισχύθηκε η γνώση. Πρόσβαση εδώ.
- πηγή: https://www.darkreading.com/vulnerabilities-threats/magicweb-mystery-highlights-nobelium-attacker-sophistication
- 7
- a
- ικανότητα
- πρόσβαση
- Σύμφωνα με
- Λογαριασμοί
- απέναντι
- ενεργός
- φορείς
- Ad
- Επιπλέον
- διοικητικός
- προηγμένες
- συμβουλευτικός
- Όλα
- και
- APT
- ένοπλες
- Ασία
- Συνέλευση
- Ενεργητικό
- επίθεση
- Επιθέσεις
- Αύγουστος
- Πιστοποίηση
- κερκόπορτα
- Κακός
- ΚΑΛΎΤΕΡΟΣ
- παραβίαση
- Σπάζοντας
- χτισμένο
- κρύπτη
- που ονομάζεται
- Καμπάνιες
- Καταγραφή
- κεντρικός
- κεντρική Ασία
- πιστοποιητικά
- πιστοποιήσεις
- αλυσίδες
- Αλλαγές
- Σκάκι
- Backup
- κωδικός
- Εταιρείες
- εταίρα
- Κόστος
- θα μπορούσε να
- πελάτης
- στον κυβερνοχώρο
- Ηλεκτρονική επίθεση
- DART
- ημερομηνία
- βαθύς
- Άμυνα
- αμυντικός
- περιγράφεται
- Ανίχνευση
- τομέα
- κάτω
- δυναμικός
- προσπάθεια
- Ευρώπη
- εκδηλώσεις
- Κάθε
- εκτέλεσης
- Όνομα
- ροή
- Ροές
- επικεντρώθηκε
- από
- FS
- κερδίζει
- παιχνίδι
- Παγκόσμιο
- Κυβέρνηση
- Group
- Ομάδα
- hacking
- βοήθεια
- ανταύγειες
- υψηλά
- οικοδεσπότες
- HTTPS
- Ταυτότητα
- διαχείριση ταυτότητας
- εκτελεστικών
- εντυπωσιακός
- in
- περιστατικό
- απάντηση περιστατικού
- αύξηση
- όλο και περισσότερο
- Υποδομή
- εγκατασταθεί
- Ερευνητές
- Επίπεδο
- Βιβλιοθήκη
- LIMIT
- LINK
- μηχανή
- κάνω
- malware
- διαχείριση
- Masterclass
- μέτρα
- ΣΠΙ
- Microsoft
- ΜΟΝΤΕΡΝΑ
- Νομισματικός
- Παρακολούθηση
- πλέον
- μετακινήσετε
- επαλήθευση πολλών παραγόντων
- πολλαπλούς
- Μυστήριο
- Ανάγκη
- καθαρά
- δίκτυο
- ΜΚΟ
- κανονικός
- προσφορές
- λειτουργίες
- επιχειρήσεις
- οργανωτικός
- οργανώσεις
- ΑΛΛΑ
- ζεύγη
- Παράλληλο
- κομμάτι
- πρωτοπόρος
- πλατφόρμες
- Πλάτων
- Πληροφορία δεδομένων Plato
- Πλάτωνα δεδομένα
- Δοκιμάστε να παίξετε
- παιχνίδι
- δυναμικού
- πρόληψη
- προηγούμενος
- προνομιούχος
- προνόμια
- διαδικασίες
- διαδικασια μας
- Προστατευτικός
- Παρόχους υπηρεσιών
- αύξηση
- λείψανα
- απαιτούν
- απάντησης
- Είπε
- ίδιο
- Σειρές
- Διακομιστές
- Υπηρεσίες
- θα πρέπει να
- Δείχνει
- ενιαίας
- So
- εξελιγμένα
- ειδικώς
- υποστηρικτής
- δήλωσε
- τέτοιος
- προμήθεια
- Αλυσίδες εφοδιασμού
- υποστήριξη
- ύποπτος
- σύστημα
- συστήματα
- τακτική
- Δεξαμενές
- στοχευμένες
- στόχευση
- Τεχνικός
- τεχνικές
- Τεχνολογία
- Η
- τους
- τρίτους
- απειλή
- απειλή
- Μέσω
- παντού
- κερκίδα
- προς την
- εργαλεία
- αφή
- θεραπεία
- αποκαλύπτω
- μοναδικός
- απεριόριστες
- ΑΝΩΝΥΜΟΣ
- us
- χρήση
- Χρήστες
- ορατότητα
- Τι
- Ποιό
- Ο ΟΠΟΊΟΣ
- zephyrnet