Microsoft ने सक्रिय निर्देशिका फ़ेडरेटेड सर्विसेज (AD FS) के लिए एक परिष्कृत प्रमाणीकरण बायपास का पता लगाया है, जो रूस से जुड़े नोबेलियम समूह द्वारा अग्रणी है।
मैलवेयर जिसने प्रमाणीकरण बाईपास की अनुमति दी - जिसे माइक्रोसॉफ्ट ने मैजिकवेब कहा - नोबेलियम को अज्ञात ग्राहक के एडी एफएस सर्वर पर पिछले दरवाजे को लगाने की क्षमता दी, फिर सामान्य प्रमाणीकरण प्रक्रिया को बायपास करने के लिए विशेष रूप से तैयार किए गए प्रमाणपत्रों का उपयोग करें। Microsoft घटना उत्तरदाताओं ने प्रमाणीकरण प्रवाह पर डेटा एकत्र किया, हमलावर द्वारा उपयोग किए गए प्रमाणीकरण प्रमाणपत्रों को कैप्चर किया, और फिर बैकडोर कोड को रिवर्स-इंजीनियर किया।
आठ जांचकर्ताओं का ध्यान "इतना [पर] एक व्होडुनिट जितना कि इसे कैसे किया गया," माइक्रोसॉफ्ट की डिटेक्शन एंड रिस्पांस टीम (DART) पर केंद्रित नहीं था। अपने घटना प्रतिक्रिया साइबर हमले श्रृंखला प्रकाशन में कहा गया है.
कंपनी ने कहा, "नोबेलियम जैसे राष्ट्र-राज्य हमलावरों को उनके प्रायोजक से असीमित मौद्रिक और तकनीकी सहायता के साथ-साथ अद्वितीय, आधुनिक हैकिंग रणनीति, तकनीक और प्रक्रियाओं (टीटीपी) तक पहुंच प्रतीत होती है।" "अधिकांश बुरे अभिनेताओं के विपरीत, नोबेलियम लगभग हर उस मशीन पर अपना ट्रेडक्राफ्ट बदलता है जिसे वे छूते हैं।"
यह हमला APT समूहों के बढ़ते परिष्कार को रेखांकित करता है, जिन्होंने तेजी से प्रौद्योगिकी आपूर्ति श्रृंखलाओं को लक्षित किया है, जैसे सोलरविंड्स उल्लंघन, और पहचान प्रणाली.
साइबर शतरंज में एक "मास्टरक्लास"
मैजिकवेब ने AD FS सिस्टम के लिए प्रशासनिक पहुँच प्राप्त करके नेटवर्क के माध्यम से पार्श्व रूप से स्थानांतरित करने के लिए अत्यधिक विशेषाधिकार प्राप्त प्रमाणपत्रों का उपयोग किया। AD FS एक पहचान प्रबंधन प्लेटफ़ॉर्म है जो ऑन-प्रिमाइसेस और तृतीय-पक्ष क्लाउड सिस्टम में एकल साइन-ऑन (SSO) लागू करने का एक तरीका प्रदान करता है। माइक्रोसॉफ्ट ने कहा कि नोबेलियम समूह ने ग्लोबल असेंबली कैश में स्थापित बैकडोर डायनेमिक लिंक लाइब्रेरी (DLL) के साथ मैलवेयर को जोड़ा, जो .NET इन्फ्रास्ट्रक्चर का एक अस्पष्ट टुकड़ा है।
मैजिकवेब, जो Microsoft ने पहली बार अगस्त 2022 में वर्णित किया, पिछले पोस्ट-शोषण टूल पर बनाया गया था, जैसे FoggyWeb, जो AD FS सर्वर से प्रमाणपत्र चुरा सकता था। इनके साथ सशस्त्र, हमलावर संगठनात्मक बुनियादी ढांचे में गहराई तक अपना रास्ता बना सकते हैं, रास्ते में डेटा की घुसपैठ कर सकते हैं, खातों में सेंध लगा सकते हैं और उपयोगकर्ताओं को प्रतिरूपित कर सकते हैं।
Microsoft के अनुसार, परिष्कृत हमले के उपकरणों और तकनीकों को उजागर करने के लिए आवश्यक प्रयास के स्तर से पता चलता है कि हमलावरों के ऊपरी क्षेत्रों में कंपनियों को अपना सर्वश्रेष्ठ बचाव करने की आवश्यकता होती है।
कंपनी ने कहा, "ज्यादातर हमलावर चेकर्स का एक प्रभावशाली खेल खेलते हैं, लेकिन तेजी से हम उन्नत लगातार खतरे वाले अभिनेताओं को शतरंज का मास्टरक्लास स्तर का खेल खेलते हुए देखते हैं।" "वास्तव में, नोबेलियम अत्यधिक सक्रिय रहता है, समानांतर लक्षित सरकारी संगठनों, गैर-सरकारी संगठनों (एनजीओ), अंतर-सरकारी संगठनों (आईजीओ), और अमेरिका, यूरोप और मध्य एशिया में थिंक टैंकों में कई अभियान चला रहा है।"
पहचान प्रणाली के लिए विशेषाधिकार सीमित करें
कंपनियों को AD FS सिस्टम और सभी पहचान प्रदाताओं (IdPs) को एक ही सुरक्षात्मक स्तर (टियर 0) में विशेषाधिकार प्राप्त संपत्ति के रूप में डोमेन नियंत्रकों के रूप में व्यवहार करने की आवश्यकता है, Microsoft ने अपनी घटना प्रतिक्रिया सलाहकार में कहा। ऐसे उपाय सीमित करते हैं कि उन मेजबानों तक कौन पहुंच सकता है और वे मेजबान अन्य प्रणालियों पर क्या कर सकते हैं।
इसके अलावा, कोई भी रक्षात्मक तकनीक जो साइबर हमलावरों के संचालन की लागत को बढ़ाती है, हमलों को रोकने में मदद कर सकती है, माइक्रोसॉफ्ट ने कहा। कंपनियों को पूरे संगठन में सभी खातों में बहु-कारक प्रमाणीकरण (एमएफए) का उपयोग करना चाहिए और यह सुनिश्चित करना चाहिए कि वे संभावित संदिग्ध घटनाओं में दृश्यता रखने के लिए प्रमाणीकरण डेटा प्रवाह की निगरानी करें।
- एसईओ संचालित सामग्री और पीआर वितरण। आज ही प्रवर्धित हो जाओ।
- प्लेटोब्लॉकचैन। Web3 मेटावर्स इंटेलिजेंस। ज्ञान प्रवर्धित। यहां पहुंचें।
- स्रोत: https://www.darkreading.com/vulnerabilities-threats/magicweb-mystery-highlights-nobelium-attacker-sophistication
- 7
- a
- क्षमता
- पहुँच
- अनुसार
- अकौन्टस(लेखा)
- के पार
- सक्रिय
- अभिनेताओं
- Ad
- इसके अलावा
- प्रशासनिक
- उन्नत
- सलाहकार
- सब
- और
- APT
- सशस्त्र
- एशिया
- विधानसभा
- संपत्ति
- आक्रमण
- आक्रमण
- अगस्त
- प्रमाणीकरण
- पिछले दरवाजे
- बुरा
- BEST
- भंग
- तोड़कर
- बनाया गया
- कैश
- बुलाया
- अभियान
- कैप्चरिंग
- केंद्रीय
- मध्य एशिया
- प्रमाण पत्र
- प्रमाणपत्र
- चेन
- परिवर्तन
- शतरंज
- बादल
- कोड
- कंपनियों
- कंपनी
- लागत
- सका
- ग्राहक
- साइबर
- साइबर हमला
- डार्ट
- तिथि
- गहरा
- रक्षा
- बचाव
- वर्णित
- खोज
- डोमेन
- नीचे
- गतिशील
- प्रयास
- यूरोप
- घटनाओं
- प्रत्येक
- को क्रियान्वित
- प्रथम
- प्रवाह
- प्रवाह
- ध्यान केंद्रित
- से
- FS
- पाने
- खेल
- वैश्विक
- सरकार
- समूह
- समूह की
- हैकिंग
- मदद
- हाइलाइट
- अत्यधिक
- मेजबान
- HTTPS
- पहचान
- पहचान प्रबंधन
- कार्यान्वयन
- प्रभावशाली
- in
- घटना
- घटना की प्रतिक्रिया
- बढ़ती
- तेजी
- इंफ्रास्ट्रक्चर
- installed
- जांचकर्ता
- स्तर
- पुस्तकालय
- सीमा
- LINK
- मशीन
- बनाना
- मैलवेयर
- प्रबंध
- मास्टरक्लास
- उपायों
- एमएफए
- माइक्रोसॉफ्ट
- आधुनिक
- मुद्रा
- मॉनिटर
- अधिकांश
- चाल
- मल्टीकॉलर प्रमाणीकरण
- विभिन्न
- रहस्य
- आवश्यकता
- जाल
- नेटवर्क
- गैर सरकारी संगठनों
- साधारण
- ऑफर
- संचालन
- संगठन
- संगठनात्मक
- संगठनों
- अन्य
- बनती
- समानांतर
- टुकड़ा
- बीड़ा उठाया
- मंच
- प्लेटो
- प्लेटो डेटा इंटेलिजेंस
- प्लेटोडाटा
- प्ले
- खेल
- संभावित
- को रोकने के
- पिछला
- विशेषाधिकृत
- विशेषाधिकारों
- प्रक्रिया
- प्रक्रिया
- रक्षात्मक
- प्रदाताओं
- उठाना
- बाकी है
- की आवश्यकता होती है
- प्रतिक्रिया
- कहा
- वही
- कई
- सर्वर
- सेवाएँ
- चाहिए
- दिखाता है
- एक
- So
- परिष्कृत
- विशेष रूप से
- प्रायोजक
- वर्णित
- ऐसा
- आपूर्ति
- पहुंचाने का तरीका
- समर्थन
- संदेहजनक
- प्रणाली
- सिस्टम
- युक्ति
- टैंक
- लक्षित
- को लक्षित
- टीम
- तकनीकी
- तकनीक
- टेक्नोलॉजी
- RSI
- लेकिन हाल ही
- तीसरे दल
- धमकी
- खतरों के खिलाड़ी
- यहाँ
- भर
- टियर
- सेवा मेरे
- उपकरण
- स्पर्श
- उपचार
- उजागर
- अद्वितीय
- असीमित
- अज्ञात
- us
- उपयोग
- उपयोगकर्ताओं
- दृश्यता
- क्या
- कौन कौन से
- कौन
- जेफिरनेट