A Microsoft felkutatta az Active Directory Federated Services (AD FS) kifinomult hitelesítési megkerülőjét, amelyet az Oroszországhoz kötődő Nobelium-csoport vezetett be.
A hitelesítési megkerülést lehetővé tevő kártevő – amelyet a Microsoft MagicWebnek nevezett el – lehetővé tette a Nobeliumnak, hogy hátsó ajtót ültessen be a meg nem nevezett ügyfél AD FS-szerverére, majd speciálisan kialakított tanúsítványokkal megkerülje a normál hitelesítési folyamatot. A Microsoft incidensre válaszolói adatokat gyűjtöttek a hitelesítési folyamatról, rögzítve a támadó által használt hitelesítési tanúsítványokat, majd visszaépítették a hátsó ajtó kódját.
A nyolc nyomozó nem „annyira egy mesterre, mint inkább a „hogyan kell csinálni”, a Microsoft Detection and Response Team (DART) csoportja összpontosított. – áll az Incident Response Cyberrattack Series kiadványában.
"Az olyan nemzetállami támadók, mint a Nobelium, látszólag korlátlan pénzügyi és technikai támogatást kapnak szponzoruktól, valamint hozzáférést biztosítanak egyedi, modern hackelési taktikákhoz, technikákhoz és eljárásokhoz (TTP)" - szögezte le a vállalat. "A legtöbb rossz színésztől eltérően Nobelium szinte minden gépen megváltoztatja a mesterségét, amihez hozzáérnek."
A támadás rávilágít az APT-csoportok egyre kifinomultabbra, amelyek egyre inkább a technológiai ellátási láncokat veszik célba, mint például a SolarWinds megsértése, és identitásrendszerek.
Egy „mesterkurzus” a kibersakkban
A MagicWeb kiemelten kiváltságos tanúsítványokat használt, hogy oldalirányban mozogjon a hálózaton azáltal, hogy adminisztrátori hozzáférést szerzett egy AD FS-rendszerhez. Az AD FS egy identitáskezelési platform, amely lehetőséget kínál az egyszeri bejelentkezés (SSO) megvalósítására a helyszíni és harmadik féltől származó felhőrendszereken. A Microsoft szerint a Nobelium csoport párosította a kártevőt a Global Assembly Cache-be, a Global Assembly Cache-be telepített dinamikus hivatkozási könyvtárral (DLL).
MagicWeb, amely A Microsoft először 2022 augusztusában írta le, a korábbi utókihasználási eszközökre épült, mint például a FoggyWeb, amely képes volt tanúsítványokat lopni az AD FS-kiszolgálókról. Ezekkel felvértezve a támadók mélyen behatolhatnak a szervezeti infrastruktúrába, útközben kiszűrhetik az adatokat, behatolhatnak fiókokba és kiadhatják a felhasználókat.
A Microsoft szerint a kifinomult támadási eszközök és technikák feltárásához szükséges erőfeszítések szintje azt mutatja, hogy a támadók felső rétegei megkövetelik a vállalatoktól, hogy a legjobb védekezésüket játsszák.
„A legtöbb támadó lenyűgöző dámajátékot játszik, de egyre gyakrabban látunk haladó, kitartó fenyegetést játszó szereplőket mesterkurzus szintű sakkjátszmában” – szögezte le a vállalat. "Valójában a Nobelium továbbra is rendkívül aktív, és párhuzamosan több kampányt hajt végre kormányzati szervezetek, nem kormányzati szervezetek (NGO-k), kormányközi szervezetek (IGO-k) és agytrösztök ellen az Egyesült Államokban, Európában és Közép-Ázsiában."
Korlátozza az Identity Systems jogosultságait
A vállalatoknak az AD FS-rendszereket és az összes identitásszolgáltatót (IdP) a tartományvezérlőkkel azonos védelmi rétegben (Tier 0) kiemelt eszközként kell kezelniük – szögezte le a Microsoft az incidensre adott tanácsában. Az ilyen intézkedések korlátozzák, hogy ki férhet hozzá ezekhez a gazdagépekhez, és mit tehetnek ezek a gazdagépek más rendszereken.
Ezenkívül minden olyan védekezési technika, amely növeli a kibertámadások költségeit, segíthet megelőzni a támadásokat – szögezte le a Microsoft. A vállalatoknak többtényezős hitelesítést (MFA) kell használniuk a szervezet összes fiókjában, és gondoskodniuk kell arról, hogy figyeljék a hitelesítési adatfolyamokat, hogy láthatóak legyenek a lehetséges gyanús eseményekre.
- SEO által támogatott tartalom és PR terjesztés. Erősödjön még ma.
- Platoblockchain. Web3 metaverzum intelligencia. Felerősített tudás. Hozzáférés itt.
- Forrás: https://www.darkreading.com/vulnerabilities-threats/magicweb-mystery-highlights-nobelium-attacker-sophistication
- 7
- a
- képesség
- hozzáférés
- Szerint
- Fiókok
- át
- aktív
- szereplők
- Ad
- mellett
- adminisztratív
- fejlett
- tanácsadó
- Minden termék
- és a
- APT
- fegyveres
- Ázsia
- Assembly
- Eszközök
- támadás
- Támadások
- Augusztus
- Hitelesítés
- hátsó ajtó
- Rossz
- BEST
- megsértése
- Törés
- épült
- Gyorsítótár
- hívott
- Kampányok
- Rögzítése
- központi
- Közép-Ázsia
- tanúsítványok
- tanúsítványok
- láncok
- Változások
- sakk
- felhő
- kód
- Companies
- vállalat
- Költség
- tudott
- vevő
- cyber
- cyberattack
- DART
- dátum
- mély
- Védelem
- védekező
- leírt
- Érzékelés
- domain
- le-
- dinamikus
- erőfeszítés
- Európa
- események
- Minden
- végrehajtó
- vezetéknév
- áramlási
- flow
- összpontosított
- ból ből
- FS
- egyre
- játék
- Globális
- Kormány
- Csoport
- Csoportok
- hacker
- segít
- kiemeli
- nagyon
- hosts
- HTTPS
- Identitás
- identitás menedzsment
- végrehajtási
- hatásos
- in
- incidens
- eseményre adott válasz
- növekvő
- egyre inkább
- Infrastruktúra
- telepítve
- A nyomozók
- szint
- könyvtár
- LIMIT
- LINK
- gép
- csinál
- malware
- vezetés
- Mesterkurzus
- intézkedések
- MFA
- microsoft
- modern
- Pénzügyi
- monitor
- a legtöbb
- mozog
- többtényezős hitelesítés
- többszörös
- Rejtély
- Szükség
- háló
- hálózat
- Civil szervezetek
- normális
- Ajánlatok
- Művelet
- szervezet
- szervezeti
- szervezetek
- Más
- párosított
- Párhuzamos
- darab
- úttörő
- emelvény
- Plató
- Platón adatintelligencia
- PlatoData
- játszani
- játék
- potenciális
- megakadályozása
- előző
- kiváltságos
- kiváltságok
- eljárások
- folyamat
- Védő
- szolgáltatók
- emel
- maradványok
- szükség
- válasz
- Mondott
- azonos
- Series of
- Szerverek
- Szolgáltatások
- kellene
- Műsorok
- egyetlen
- So
- kifinomult
- különösen
- szponzor
- meghatározott
- ilyen
- kínálat
- Ellátási láncok
- támogatás
- gyanús
- rendszer
- Systems
- taktika
- Tankok
- célzott
- célzás
- csapat
- Műszaki
- technikák
- Technológia
- A
- azok
- harmadik fél
- fenyegetés
- fenyegetés szereplői
- Keresztül
- egész
- tier
- nak nek
- szerszámok
- érintse
- kezelésére
- feltárni
- egyedi
- korlátlan
- NÉVTELEN
- us
- használ
- Felhasználók
- láthatóság
- Mit
- ami
- WHO
- zephyrnet