مایکروسافت یک بای پس احراز هویت پیچیده را برای خدمات فدرال اکتیو دایرکتوری (AD FS) که توسط گروه نوبلیوم مرتبط با روسیه پیشگام بود، ردیابی کرده است.
بدافزاری که اجازه دور زدن احراز هویت را می داد - که مایکروسافت آن را MagicWeb نامید - به نوبلیوم این توانایی را داد تا یک درب پشتی را روی سرور AD FS مشتری ناشناس قرار دهد و سپس از گواهی های ساخته شده ویژه برای دور زدن فرآیند عادی احراز هویت استفاده کند. واکنشدهندههای حادثه مایکروسافت دادههایی را در مورد جریان احراز هویت جمعآوری کردند، گواهیهای احراز هویت مورد استفاده مهاجم را ضبط کردند و سپس کد درب پشتی را مهندسی معکوس کردند.
تیم تشخیص و پاسخ مایکروسافت (DART) هشت محقق «آنقدر روی یک Whodunit متمرکز نبودند که چگونه انجامش میدهند». در نشریه Incident Response Series Cyberattack Series بیان کرد.
این شرکت اعلام کرد: مهاجمان دولتی مانند نوبلیوم از حمایت مالی و فنی به ظاهر نامحدودی از طرف حامی خود برخوردار هستند و همچنین به تاکتیکها، تکنیکها و رویههای هک منحصربهفرد و مدرن (TTP) دسترسی دارند. برخلاف بسیاری از بازیگران بد، نوبلیوم تقریباً با هر ماشینی که دست میکشد، کار خود را تغییر میدهد.
این حمله بر پیچیدگی روزافزون گروههای APT تاکید میکند که به طور فزایندهای زنجیرههای تامین فناوری را هدف قرار دادهاند. مانند بادهای خورشیدی نقض، و سیستم های هویت.
یک "مسترکلاس" در شطرنج سایبری
MagicWeb از گواهینامه های بسیار ممتاز برای حرکت جانبی در شبکه با دسترسی مدیریت به یک سیستم AD FS استفاده کرد. AD FS یک پلتفرم مدیریت هویت است که راهی برای پیادهسازی یک ثبت نام (SSO) در سیستمهای ابری داخلی و شخص ثالث ارائه میدهد. مایکروسافت گفت که گروه Nobelium این بدافزار را با یک کتابخانه پیوند پویا (DLL) در پشتی نصب شده در حافظه پنهان Global Assembly، یک قطعه مبهم از زیرساخت دات نت جفت کرده است.
مجیک وب، که مایکروسافت برای اولین بار در اوت 2022 توضیح داد، بر روی ابزارهای پس از بهره برداری قبلی مانند FoggyWeb ساخته شده بود که می توانست گواهینامه ها را از سرورهای AD FS بدزدد. با استفاده از این موارد، مهاجمان میتوانند به عمق زیرساختهای سازمانی راه پیدا کنند، دادهها را در طول مسیر استخراج کنند، به حسابها نفوذ کنند و هویت کاربران را جعل کنند.
به گفته مایکروسافت، سطح تلاش مورد نیاز برای کشف ابزارها و تکنیکهای پیشرفته حمله نشان میدهد که ردههای بالای مهاجمان از شرکتها میخواهند که بهترین دفاع خود را انجام دهند.
این شرکت اظهار داشت: "بیشتر مهاجمان یک بازی چشمگیر از چکرز را انجام می دهند، اما به طور فزاینده ای می بینیم که بازیگران تهدید کننده پیشرفته و مداوم در حال انجام یک بازی شطرنج در سطح مسترکلاس هستند." در واقع، نوبلیوم همچنان بسیار فعال است و کمپین های متعددی را به صورت موازی با هدف قرار دادن سازمان های دولتی، سازمان های غیر دولتی (NGOs)، سازمان های بین دولتی (IGOs)، و اتاق های فکر در سراسر ایالات متحده، اروپا و آسیای مرکزی اجرا می کند.
محدودیت امتیازات برای سیستم های هویت
مایکروسافت در مشاوره پاسخگویی به حادثه اعلام کرد، شرکتها باید سیستمهای AD FS و همه ارائهدهندگان هویت (IdP) را به عنوان داراییهای ممتاز در همان ردیف حفاظتی (سطح 0) کنترلکنندههای دامنه در نظر بگیرند. چنین اقداماتی محدود میکند که چه کسی میتواند به آن میزبانها دسترسی داشته باشد و آن میزبانها چه کاری را در سیستمهای دیگر انجام دهند.
علاوه بر این، مایکروسافت اعلام کرد، هر گونه تکنیک دفاعی که هزینه عملیات را برای مهاجمان سایبری افزایش دهد، می تواند به جلوگیری از حملات کمک کند. شرکتها باید از احراز هویت چند عاملی (MFA) در تمام حسابهای سازمان استفاده کنند و مطمئن شوند که جریان دادههای احراز هویت را نظارت میکنند تا رویدادهای مشکوک احتمالی را مشاهده کنند.
- محتوای مبتنی بر SEO و توزیع روابط عمومی. امروز تقویت شوید.
- پلاتوبلاک چین. Web3 Metaverse Intelligence. دانش تقویت شده دسترسی به اینجا.
- منبع: https://www.darkreading.com/vulnerabilities-threats/magicweb-mystery-highlights-nobelium-attacker-sophistication
- 7
- a
- توانایی
- دسترسی
- مطابق
- حساب ها
- در میان
- فعال
- بازیگران
- Ad
- اضافه
- اداری
- پیشرفته
- مشاوره
- معرفی
- و
- APT
- مسلح
- آسیا
- مجلس
- دارایی
- حمله
- حمله
- اوت
- تصدیق
- درپشتی
- بد
- بهترین
- شکاف
- شکستن
- ساخته
- مخزن
- نام
- مبارزات
- ضبط
- مرکزی
- آسیای مرکزی
- گواهینامه ها
- گواهینامه ها
- زنجیر
- تبادل
- شطرنج
- ابر
- رمز
- شرکت
- شرکت
- هزینه
- میتوانست
- مشتری
- سایبر
- حمله سایبری
- DART
- داده ها
- عمیق
- دفاع
- دفاعی
- شرح داده شده
- کشف
- دامنه
- پایین
- پویا
- تلاش
- اروپا
- حوادث
- هر
- اجرا کردن
- نام خانوادگی
- جریان
- جریانها
- متمرکز شده است
- از جانب
- FS
- به دست آوردن
- بازی
- جهانی
- دولت
- گروه
- گروه ها
- هک
- کمک
- های لایت
- خیلی
- میزبان
- HTTPS
- هویت
- مدیریت هویت
- اجرای
- موثر
- in
- حادثه
- پاسخ حادثه
- افزایش
- به طور فزاینده
- شالوده
- نصب شده
- محققان
- سطح
- کتابخانه
- محدود
- ارتباط دادن
- دستگاه
- ساخت
- نرم افزارهای مخرب
- مدیریت
- استاد کلاس
- معیارهای
- MFA
- مایکروسافت
- مدرن
- پولی
- مانیتور
- اکثر
- حرکت
- احراز هویت چند عاملی
- چندگانه
- راز
- نیاز
- خالص
- شبکه
- سازمان های غیر دولتی
- طبیعی
- پیشنهادات
- عملیات
- کدام سازمان ها
- سازمانی
- سازمان های
- دیگر
- زوج
- موازی
- قطعه
- پیشگام
- سکو
- افلاطون
- هوش داده افلاطون
- PlatoData
- بازی
- بازی
- پتانسیل
- جلوگیری از
- قبلی
- ممتاز
- امتیازات
- روش
- روند
- محافظ
- ارائه دهندگان
- بالا بردن
- بقایای
- نیاز
- پاسخ
- سعید
- همان
- سلسله
- سرور
- خدمات
- باید
- نشان می دهد
- تنها
- So
- مصنوعی
- مخصوصاً
- حامی
- اظهار داشت:
- چنین
- عرضه
- زنجیره تامین
- پشتیبانی
- مشکوک
- سیستم
- سیستم های
- تاکتیک
- مخازن
- هدف قرار
- هدف گذاری
- تیم
- فنی
- تکنیک
- پیشرفته
- La
- شان
- شخص ثالث
- تهدید
- بازیگران تهدید
- از طریق
- سراسر
- ردیف
- به
- ابزار
- لمس
- درمان
- برملا کردن
- منحصر به فرد
- نا محدود
- بی نام
- us
- استفاده کنید
- کاربران
- دید
- چی
- که
- WHO
- زفیرنت