MagicWeb Mystery korostaa Nobelium Attackerin hienostuneisuutta

Microsoft on jäljittänyt Active Directory Federated Services (AD FS) -palvelun kehittyneen todennuksen ohituksen, jonka edelläkävijä on Venäjään liittyvä Nobelium-ryhmä. 

Haittaohjelma, joka salli todennuksen ohituksen – jota Microsoft kutsui MagicWebiksi – antoi Nobeliumille mahdollisuuden istuttaa takaoven nimettömään asiakkaan AD FS -palvelimeen ja käyttää sitten erityisesti muotoiltuja varmenteita normaalin todennusprosessin ohittamiseksi. Microsoftin tapausten vastaajat keräsivät tietoja todennuskulusta, sieppasivat hyökkääjän käyttämät todennussertifikaatit ja käänsivät sitten takaoven koodin.

Microsoftin Detection and Response Team (DART) -tiimi kahdeksan tutkijaa eivät keskittyneet "niinkään ykköstehtävään kuin sen tekemiseen". totesi Incident Response Cybertack Series -julkaisussaan.

"Nobeliumin kaltaisilla kansallisvaltiohyökkääjillä on näennäisesti rajoittamaton rahallinen ja tekninen tuki sponsoriltaan, samoin kuin pääsy ainutlaatuisiin, moderneihin hakkerointitaktiikoihin, tekniikoihin ja menettelyihin (TTP:t)," yhtiö totesi. "Toisin kuin useimmat huonot näyttelijät, Nobelium vaihtaa ammattiaan melkein jokaisessa koneessa, johon he koskettavat."

Hyökkäys korostaa APT-ryhmien kehittyneempää kehitystä, sillä ne ovat kohdistaneet yhä enemmän teknologian toimitusketjuihin. kuten SolarWinds rikkominen ja identiteettijärjestelmät. 

"Mestariluokka" kybershakissa

MagicWeb käytti erittäin etuoikeutettuja sertifikaatteja siirtyäkseen sivusuunnassa verkon läpi hankkimalla järjestelmänvalvojan pääsyn AD FS -järjestelmään. AD FS on identiteetinhallintaalusta, joka tarjoaa tavan ottaa käyttöön kertakirjautuminen (SSO) paikallisissa ja kolmannen osapuolen pilvijärjestelmissä. Microsoft kertoi, että Nobelium-ryhmä parilii haittaohjelman dynaamiseen takaoven linkkikirjastoon (DLL), joka oli asennettu Global Assembly Cache -välimuistiin.

MagicWeb, joka Microsoft kuvasi ensimmäisen kerran elokuussa 2022, rakennettiin aiemmille jälkikäyttötyökaluille, kuten FoggyWebille, joka saattoi varastaa varmenteita AD FS -palvelimista. Näiden avulla hyökkääjät voivat päästä syvälle organisaation infrastruktuuriin, suodattaa tietoja matkan varrella, murtautua tileille ja esiintyä käyttäjinä.

Kehittyneiden hyökkäystyökalujen ja -tekniikoiden paljastamiseen tarvittava ponnistelu osoittaa, että hyökkääjien ylemmät ryhmät vaativat yrityksiltä parhaan puolustuksensa Microsoftin mukaan.

"Useimmat hyökkääjät pelaavat vaikuttavaa tammipeliä, mutta yhä useammin näemme edistyneitä sitkeitä uhkanäyttelijöitä pelaamassa mestariluokkatason shakkipeliä", yhtiö totesi. "Itse asiassa Nobelium on edelleen erittäin aktiivinen ja toteuttaa useita kampanjoita rinnakkain hallitusten, kansalaisjärjestöjen, hallitustenvälisten järjestöjen ja ajatushautojen ympärillä Yhdysvalloissa, Euroopassa ja Keski-Aasiassa."

Rajoita tunnistusjärjestelmien käyttöoikeuksia

Yritysten on kohdeltava AD FS -järjestelmiä ja kaikkia identiteetintarjoajia (IdP:t) etuoikeutettuina omaisuuksina samassa suojatasossa (Tier 0) kuin toimialueen ohjaimia, Microsoft totesi tapauskohtaisessa reagoinnissaan. Tällaiset toimenpiteet rajoittavat sitä, kuka voi käyttää kyseisiä isäntiä ja mitä nämä isännät voivat tehdä muissa järjestelmissä. 

Lisäksi kaikki puolustustekniikat, jotka nostavat kyberhyökkääjien toimintakustannuksia, voivat auttaa estämään hyökkäyksiä, Microsoft totesi. Yritysten tulee käyttää monitekijätodennusta (MFA) kaikilla organisaation tileillä ja varmistaa, että ne valvovat todennustietovirtoja, jotta he voivat nähdä mahdolliset epäilyttävät tapahtumat.

• SEO-pohjainen sisällön ja PR-jakelu. Vahvista jo tänään.
• Platoblockchain. Web3 Metaverse Intelligence. Tietoa laajennettu. Pääsy tästä.
• Lähde: https://www.darkreading.com/vulnerabilities-threats/magicweb-mystery-highlights-nobelium-attacker-sophistication