MagicWeb Mystery tõstab esile Nobelium Attackeri keerukuse

Microsoft on leidnud Active Directory Federated Services (AD FS) keeruka autentimise möödaviigu, mille pioneeriks on Venemaaga seotud Nobeliumi grupp. 

Autentimisest möödasõitu võimaldanud pahavara – mida Microsoft nimetas MagicWebiks – andis Nobeliumile võimaluse implanteerida nimetu kliendi AD FS-serverisse tagauks ja seejärel kasutada tavapärasest autentimisprotsessist möödahiilimiseks spetsiaalselt koostatud sertifikaate. Microsofti intsidentidele reageerijad kogusid andmeid autentimisvoo kohta, püüdsid kinni ründaja kasutatud autentimissertifikaadid ja pöördprojekteerisid seejärel tagaukse koodi.

Microsofti tuvastamis- ja reageerimismeeskond (DART) ei keskendunud kaheksa uurijat mitte niivõrd asjatundjale, kuivõrd sellele, kuidas seda teha. teatas oma juhtumite reageerimise küberrünnakute sarja väljaandes.

"Rahvusriikide ründajatel, nagu Nobelium, on näiliselt piiramatu rahaline ja tehniline tugi oma sponsorilt, samuti juurdepääs ainulaadsetele, kaasaegsetele häkkimistaktikatele, -tehnikatele ja -protseduuridele (TTP-d)," teatas ettevõte. "Erinevalt enamikust halbadest näitlejatest muudab Nobelium oma käsitööd peaaegu igal masinal, mida nad puudutavad."

Rünnak rõhutab APT gruppide kasvavat keerukust, mis on järjest enam sihikule võtnud tehnoloogia tarneahelaid, nagu SolarWinds rikkumine ja identiteedisüsteemid. 

Kübermale "meistriklass".

MagicWeb kasutas kõrgelt privilegeeritud sertifikaate, et liikuda võrgus külgsuunas, hankides AD FS-süsteemile administraatorijuurdepääsu. AD FS on identiteedihaldusplatvorm, mis pakub ühtse sisselogimise (SSO) juurutamise võimalust kohapealsetes ja kolmandate osapoolte pilvesüsteemides. Nobeliumi grupp sidus pahavara tagaukse dünaamilise lingi teegiga (DLL), mis oli installitud Global Assembly Cache, mis on .NET-i infrastruktuuri ebaselge osa, teatas Microsoft.

MagicWeb, mis Microsoft kirjeldas esmakordselt augustis 2022, ehitati varasematele kasutusjärgsetele tööriistadele, nagu FoggyWeb, mis võis varastada AD FS-i serveritelt sertifikaate. Nendega relvastatud ründajad võivad tungida sügavale organisatsiooni infrastruktuuri, eksfiltreerida andmeid, murda sisse kontodele ja esineda kasutajatena.

Microsofti sõnul näitab keerukate ründetööriistade ja -tehnikate avastamiseks vajalik jõupingutuste tase, et ründajate kõrgemad astmed nõuavad ettevõtetelt oma parimat kaitset.

"Enamik ründajaid mängib muljetavaldavat kabemängu, kuid üha enam näeme arenenud püsivaid ohunäitlejaid mängimas meistriklassi tasemel malemängu," teatas ettevõte. "Tegelikult on Nobelium endiselt väga aktiivne, viies paralleelselt läbi mitu kampaaniat, mis on suunatud valitsusorganisatsioonidele, valitsusvälistele organisatsioonidele (VVO-dele), valitsustevahelistele organisatsioonidele (IGO) ja mõttekodadele kogu USA-s, Euroopas ja Kesk-Aasias."

Piirata identiteedisüsteemide privileege

Ettevõtted peavad käsitlema AD FS-i süsteeme ja kõiki identiteedipakkujaid (IdP) kui domeenikontrolleritega samal kaitsetasemel (Tier 0) privilegeeritud varasid, teatas Microsoft oma intsidentidele reageerimise nõuandes. Sellised meetmed piiravad, kes pääsevad neile hostidele juurde ja mida need hostid saavad teistes süsteemides teha. 

Lisaks võivad kõik kaitsetehnikad, mis tõstavad küberründajate operatsioonide kulusid, aidata rünnakuid ära hoida, teatas Microsoft. Ettevõtted peaksid kasutama mitmefaktorilist autentimist (MFA) kõigis organisatsiooni kontodes ja veenduma, et nad jälgiksid autentimisandmevoogusid, et oleks võimalik näha potentsiaalseid kahtlaseid sündmusi.

• SEO-põhise sisu ja PR-levi. Võimenduge juba täna.
• Platoblockchain. Web3 metaversiooni intelligentsus. Täiustatud teadmised. Juurdepääs siia.
• Allikas: https://www.darkreading.com/vulnerabilities-threats/magicweb-mystery-highlights-nobelium-attacker-sophistication