Microsoft a découvert un contournement d'authentification sophistiqué pour Active Directory Federated Services (AD FS), lancé par le groupe Nobelium lié à la Russie.
Le logiciel malveillant qui a permis le contournement de l'authentification - que Microsoft a appelé MagicWeb - a donné à Nobelium la possibilité d'implanter une porte dérobée sur le serveur AD FS du client anonyme, puis d'utiliser des certificats spécialement conçus pour contourner le processus d'authentification normal. Les intervenants en cas d'incident de Microsoft ont collecté des données sur le flux d'authentification, capturant les certificats d'authentification utilisés par l'attaquant, puis ont procédé à la rétro-ingénierie du code de la porte dérobée.
Les huit enquêteurs ne se concentraient pas « tant [sur] un polar que sur un comment-faire », l'équipe de détection et de réponse (DART) de Microsoft. indiqué dans sa publication Incident Response Cyberattack Series.
"Les attaquants d'États-nations comme Nobelium bénéficient d'un soutien monétaire et technique apparemment illimité de la part de leur sponsor, ainsi que d'un accès à des tactiques, techniques et procédures de piratage uniques et modernes (TTP)", a déclaré la société. "Contrairement à la plupart des mauvais acteurs, Nobelium change de métier sur presque toutes les machines qu'ils touchent."
L'attaque souligne la sophistication croissante des groupes APT, qui ciblent de plus en plus les chaînes d'approvisionnement technologiques, tels que SolarWinds violation, et systèmes d'identité.
Une « Masterclass » en Cyber Chess
MagicWeb a utilisé des certifications hautement privilégiées pour se déplacer latéralement sur le réseau en obtenant un accès administratif à un système AD FS. AD FS est une plate-forme de gestion des identités qui offre un moyen de mettre en œuvre l'authentification unique (SSO) sur des systèmes cloud sur site et tiers. Le groupe Nobelium a associé le logiciel malveillant à une bibliothèque de liens dynamiques (DLL) de porte dérobée installée dans le Global Assembly Cache, un élément obscur de l'infrastructure .NET, a déclaré Microsoft.
MagicWeb, qui Microsoft décrit pour la première fois en août 2022, a été construit sur des outils de post-exploitation antérieurs, tels que FoggyWeb, qui pouvaient voler des certificats aux serveurs AD FS. Armés de ceux-ci, les attaquants pourraient pénétrer profondément dans l'infrastructure organisationnelle, exfiltrer des données en cours de route, pénétrer dans des comptes et se faire passer pour des utilisateurs.
Le niveau d'effort nécessaire pour découvrir les outils et techniques d'attaque sophistiqués montre que les échelons supérieurs des attaquants exigent que les entreprises jouent leur meilleure défense, selon Microsoft.
"La plupart des attaquants jouent à un jeu de dames impressionnant, mais nous voyons de plus en plus des acteurs de menaces persistantes avancées jouer à un jeu d'échecs de niveau masterclass", a déclaré la société. "En fait, Nobelium reste très actif, exécutant plusieurs campagnes en parallèle ciblant les organisations gouvernementales, les organisations non gouvernementales (ONG), les organisations intergouvernementales (OIG) et les groupes de réflexion aux États-Unis, en Europe et en Asie centrale."
Limiter les privilèges pour les systèmes d'identité
Les entreprises doivent traiter les systèmes AD FS et tous les fournisseurs d'identité (IdP) comme des actifs privilégiés dans le même niveau de protection (niveau 0) que les contrôleurs de domaine, a déclaré Microsoft dans son avis de réponse aux incidents. De telles mesures limitent qui peut accéder à ces hôtes et ce que ces hôtes peuvent faire sur d'autres systèmes.
En outre, toutes les techniques défensives qui augmentent le coût des opérations pour les cyberattaquants peuvent aider à prévenir les attaques, a déclaré Microsoft. Les entreprises doivent utiliser l'authentification multifacteur (MFA) sur tous les comptes de l'organisation et s'assurer qu'elles surveillent les flux de données d'authentification pour avoir une visibilité sur les événements suspects potentiels.
- Contenu propulsé par le référencement et distribution de relations publiques. Soyez amplifié aujourd'hui.
- Platoblockchain. Intelligence métaverse Web3. Connaissance Amplifiée. Accéder ici.
- La source: https://www.darkreading.com/vulnerabilities-threats/magicweb-mystery-highlights-nobelium-attacker-sophistication
- 7
- a
- capacité
- accès
- Selon
- hybrides
- à travers
- infection
- acteurs
- Ad
- ajout
- administratif
- Avancée
- consultatif
- Tous
- ainsi que
- APT
- armé
- Asie
- Assemblée
- Outils
- attaquer
- Attaques
- Août
- Authentification
- détourné
- Mal
- LES MEILLEURS
- violation
- Rupture
- construit
- Cache
- appelé
- Campagnes
- Capturer
- central
- Asie centrale
- certificats
- certifications
- Chaînes
- Modifications
- Échecs
- le cloud
- code
- Sociétés
- Société
- Prix
- pourriez
- des clients
- cyber
- Cyber-attaque
- DART
- données
- profond
- Défense
- défensive
- décrit
- Détection
- domaine
- down
- Dynamic
- effort
- Europe
- événements
- Chaque
- exécution
- Prénom
- flux
- Flux
- concentré
- De
- FS
- gagner
- jeu
- Global
- Gouvernement
- Réservation de groupe
- Groupes
- piratage
- vous aider
- Faits saillants
- très
- hôtes
- HTTPS
- Identite
- gestion de l'identité
- la mise en œuvre
- impressionnant
- in
- incident
- réponse à l'incident
- croissant
- de plus en plus
- Infrastructure
- Installé
- Les enquêteurs ont
- Niveau
- Bibliothèque
- LIMIT
- LINK
- click
- a prendre une
- malware
- gestion
- La Masterclass
- les mesures
- MFA
- Microsoft
- Villas Modernes
- Monétaire
- Surveiller
- (en fait, presque toutes)
- Bougez
- authentification multifactorielle
- plusieurs
- Mystère
- Besoin
- net
- réseau et
- ONG
- Ordinaire
- Offres Speciales
- Opérations
- organisation
- organisationnel
- organisations
- Autre
- apparié
- Parallèle
- pièce
- pionnier
- plateforme
- Platon
- Intelligence des données Platon
- PlatonDonnées
- Jouez
- jouer
- défaillances
- empêcher
- précédent
- privilégié
- privilèges
- procédures
- processus
- Protecteur
- fournisseurs
- augmenter
- reste
- exigent
- réponse
- Saïd
- même
- Série
- Serveurs
- Services
- devrait
- Spectacles
- unique
- So
- sophistiqué
- spécialement
- parrainer
- A déclaré
- tel
- la quantité
- Des chaînes d'approvisionnement
- Support
- soupçonneux
- combustion propre
- Système
- tactique
- réservoirs
- des campagnes marketing ciblées,
- ciblage
- équipe
- Technique
- techniques
- Technologie
- La
- leur
- des tiers.
- menace
- acteurs de la menace
- Avec
- tout au long de
- étage
- à
- les outils
- -nous
- traiter
- devoiler
- expérience unique et authentique
- illimité
- ANONYME
- us
- utilisé
- utilisateurs
- définition
- Quoi
- qui
- WHO
- zéphyrnet
