Microsoft ha rastreado un sofisticado bypass de autenticación para Active Directory Federated Services (AD FS), iniciado por el grupo Nobelium vinculado a Rusia.
El malware que permitió eludir la autenticación, que Microsoft llamó MagicWeb, le dio a Nobelium la capacidad de implantar una puerta trasera en el servidor AD FS del cliente anónimo y luego usar certificados especialmente diseñados para eludir el proceso de autenticación normal. El personal de respuesta a incidentes de Microsoft recopiló datos sobre el flujo de autenticación, capturando los certificados de autenticación utilizados por el atacante y luego realizó ingeniería inversa del código de puerta trasera.
Los ocho investigadores no se centraron "tanto [en] un misterio como en cómo se hizo", dijo el Equipo de Detección y Respuesta de Microsoft (DART) declarado en su publicación de la Serie de Ciberataques de Respuesta a Incidentes.
“Los atacantes de estados-nación como Nobelium tienen apoyo monetario y técnico aparentemente ilimitado de su patrocinador, así como acceso a tácticas, técnicas y procedimientos de piratería (TTP) únicos y modernos”, afirmó la compañía. “A diferencia de la mayoría de los malos actores, Nobelium cambia su oficio en casi todas las máquinas que tocan”.
El ataque subraya la creciente sofisticación de los grupos APT, que se han dirigido cada vez más a las cadenas de suministro de tecnología, como los vientos solares incumplimiento, y sistemas de identidad.
Una “Masterclass” de Ciber Ajedrez
MagicWeb usó certificaciones altamente privilegiadas para moverse lateralmente a través de la red al obtener acceso administrativo a un sistema AD FS. AD FS es una plataforma de administración de identidades que ofrece una forma de implementar el inicio de sesión único (SSO) en sistemas de nube locales y de terceros. El grupo Nobelium combinó el malware con una biblioteca de enlaces dinámicos (DLL) de puerta trasera instalada en Global Assembly Cache, una pieza oscura de la infraestructura .NET, dijo Microsoft.
Red Mágica, que Microsoft descrito por primera vez en agosto de 2022, se basó en herramientas previas posteriores a la explotación, como FoggyWeb, que podía robar certificados de servidores AD FS. Armados con estos, los atacantes podrían penetrar profundamente en la infraestructura de la organización, extrayendo datos en el camino, irrumpiendo en las cuentas y suplantando a los usuarios.
El nivel de esfuerzo necesario para descubrir las sofisticadas herramientas y técnicas de ataque muestra que los escalones superiores de los atacantes requieren que las empresas jueguen su mejor defensa, según Microsoft.
“La mayoría de los atacantes juegan un impresionante juego de damas, pero cada vez más vemos a los actores de amenazas persistentes avanzados jugando un juego de ajedrez de nivel de clase magistral”, afirmó la compañía. “De hecho, Nobelium sigue siendo muy activo, ejecutando múltiples campañas en paralelo dirigidas a organizaciones gubernamentales, organizaciones no gubernamentales (ONG), organizaciones intergubernamentales (OIG) y grupos de expertos en los EE. UU., Europa y Asia Central”.
Privilegios de límite para sistemas de identidad
Las empresas deben tratar los sistemas AD FS y todos los proveedores de identidad (IdP) como activos privilegiados en el mismo nivel de protección (Nivel 0) que los controladores de dominio, afirmó Microsoft en su aviso de respuesta a incidentes. Tales medidas limitan quién puede acceder a esos hosts y qué pueden hacer esos hosts en otros sistemas.
Además, cualquier técnica defensiva que eleve el costo de las operaciones para los atacantes cibernéticos puede ayudar a prevenir ataques, afirmó Microsoft. Las empresas deben usar la autenticación multifactor (MFA) en todas las cuentas de la organización y asegurarse de monitorear los flujos de datos de autenticación para tener visibilidad de posibles eventos sospechosos.
- Distribución de relaciones públicas y contenido potenciado por SEO. Consiga amplificado hoy.
- Platoblockchain. Inteligencia del Metaverso Web3. Conocimiento amplificado. Accede Aquí.
- Fuente: https://www.darkreading.com/vulnerabilities-threats/magicweb-mystery-highlights-nobelium-attacker-sophistication
- 7
- a
- capacidad
- de la máquina
- Conforme
- Cuentas
- a través de
- lector activo
- los actores
- Ad
- adición
- administrativo
- avanzado
- asesor
- Todos
- y
- APT
- armado
- Asia
- Asamblea
- Activos
- atacar
- ataques
- AGOSTO
- Autenticación
- puerta trasera
- Malo
- MEJOR
- incumplimiento
- Ruptura
- construido
- cache
- , que son
- Campañas
- Capturando
- central
- Asia Central
- certificados
- certificaciones
- cadenas
- Cambios
- Ajedrez
- Soluciones
- código
- Empresas
- compañía
- Cost
- podría
- cliente
- ciber
- Ataque cibernetico
- DART
- datos
- profundo
- Defensa
- defensiva
- descrito
- Detección
- dominio
- DE INSCRIPCIÓN
- lugar de trabajo dinámico
- esfuerzo
- Europa
- Eventos
- Cada
- ejecución
- Nombre
- de tus señales
- Flujos
- centrado
- Desde
- FS
- ganando
- juego
- Buscar
- Gobierno
- Grupo procesos
- Grupo
- la piratería
- ayuda
- destacados
- altamente
- anfitriones
- HTTPS
- Identidad
- de gestión de identidades
- implementación
- impresionante
- in
- incidente
- respuesta al incidente
- creciente
- cada vez más
- EN LA MINA
- instalado
- Los investigadores
- Nivel
- Biblioteca
- LIMITE LAS
- LINK
- máquina
- para lograr
- el malware
- Management
- Masterclass
- medidas
- MFA
- Microsoft
- Moderno
- Monetario
- Monitorear
- MEJOR DE TU
- movimiento
- autenticación multifactor
- múltiples
- Mystery
- ¿ Necesita ayuda
- red
- del sistema,
- ONG
- normal
- Ofertas
- Operaciones
- organización
- organizativo
- para las fiestas.
- Otro
- emparejado
- Paralelo
- pieza
- pionero
- plataforma
- Platón
- Inteligencia de datos de Platón
- PlatónDatos
- Jugar
- jugando
- posible
- evitar
- anterior
- privilegiado
- privilegios
- procedimientos
- Cobertura
- los proveedores
- aumento
- permanece
- exigir
- respuesta
- Said
- mismo
- Serie
- Servidores
- Servicios
- tienes
- Shows
- soltero
- So
- sofisticado
- especialmente
- patrocinar
- dijo
- tal
- suministro
- Cadenas de suministro
- SOPORTE
- suspicaz
- te
- Todas las funciones a su disposición
- táctica
- Tanques
- afectados
- orientación
- equipo
- Técnico
- técnicas
- Tecnología
- La
- su
- terceros.
- amenaza
- actores de amenaza
- A través de esta formación, el personal docente y administrativo de escuelas y universidades estará preparado para manejar los recursos disponibles que derivan de la diversidad cultural de sus estudiantes. Además, un mejor y mayor entendimiento sobre estas diferencias y similitudes culturales permitirá alcanzar los objetivos de inclusión previstos.
- a lo largo de
- nivel
- a
- contacto
- sorpresa
- descubrir
- único
- ilimitado
- SIN NOMBRE
- us
- utilizan el
- usuarios
- la visibilidad
- ¿
- que
- QUIENES
- zephyrnet
