Microsoft telah melacak bypass otentikasi canggih untuk Layanan Federasi Direktori Aktif (AD FS), yang dipelopori oleh grup Nobelium yang terkait dengan Rusia.
Malware yang memungkinkan bypass otentikasi - yang oleh Microsoft disebut MagicWeb - memberi Nobelium kemampuan untuk menanamkan pintu belakang pada server AD FS pelanggan yang tidak disebutkan namanya, kemudian menggunakan sertifikat yang dibuat khusus untuk melewati proses otentikasi normal. Penanggap insiden Microsoft mengumpulkan data pada alur autentikasi, menangkap sertifikat autentikasi yang digunakan oleh penyerang, lalu merekayasa balik kode pintu belakang.
Kedelapan penyelidik tidak terlalu fokus "terlalu [pada] cerita detektif sebagai cara melakukannya," Tim Deteksi dan Respons Microsoft (DART) dinyatakan dalam publikasi Incident Response Cyberattack Series.
“Penyerang negara-bangsa seperti Nobelium memiliki dukungan moneter dan teknis yang tampaknya tidak terbatas dari sponsor mereka, serta akses ke taktik, teknik, dan prosedur peretasan (TTP) yang unik dan modern,” kata perusahaan itu. “Tidak seperti kebanyakan aktor jahat, Nobelium mengubah keahlian mereka di hampir setiap mesin yang mereka sentuh.”
Serangan tersebut menggarisbawahi meningkatnya kecanggihan kelompok APT, yang semakin menargetkan rantai pasokan teknologi, seperti SolarWinds pelanggaran, dan sistem identitas.
"Kelas Master" dalam Catur Cyber
MagicWeb menggunakan sertifikasi yang sangat istimewa untuk bergerak secara lateral melalui jaringan dengan mendapatkan akses administratif ke sistem AD FS. AD FS adalah platform manajemen identitas yang menawarkan cara menerapkan sistem masuk tunggal (SSO) di seluruh sistem cloud lokal dan pihak ketiga. Kelompok Nobelium memasangkan malware tersebut dengan backdoor dynamic link library (DLL) yang dipasang di Global Assembly Cache, sebuah infrastruktur .NET yang tidak jelas, kata Microsoft.
MagicWeb, yang Microsoft pertama kali dijelaskan pada Agustus 2022, dibangun di atas alat pasca-eksploitasi sebelumnya, seperti FoggyWeb, yang dapat mencuri sertifikat dari server AD FS. Berbekal ini, penyerang dapat masuk jauh ke dalam infrastruktur organisasi, mengekstraksi data di sepanjang jalan, membobol akun, dan menyamar sebagai pengguna.
Tingkat upaya yang diperlukan untuk mengungkap alat dan teknik serangan canggih menunjukkan bahwa eselon atas penyerang membutuhkan perusahaan untuk memainkan pertahanan terbaik mereka, menurut Microsoft.
“Sebagian besar penyerang memainkan permainan catur yang mengesankan, tetapi semakin sering kita melihat aktor ancaman tingkat lanjut yang gigih memainkan permainan catur tingkat master,” kata perusahaan itu. “Faktanya, Nobelium tetap sangat aktif, melaksanakan banyak kampanye secara paralel yang menargetkan organisasi pemerintah, organisasi non-pemerintah (LSM), organisasi antar pemerintah (IGO), dan wadah pemikir di seluruh AS, Eropa, dan Asia Tengah.”
Batasi Keistimewaan untuk Sistem Identitas
Perusahaan perlu memperlakukan sistem AD FS dan semua penyedia identitas (IdP) sebagai aset istimewa dalam tingkat perlindungan yang sama (Tingkat 0) sebagai pengontrol domain, kata Microsoft dalam penasehat respons insidennya. Tindakan tersebut membatasi siapa yang dapat mengakses host tersebut dan apa yang dapat dilakukan host tersebut pada sistem lain.
Selain itu, setiap teknik pertahanan yang meningkatkan biaya operasi penyerang siber dapat membantu mencegah serangan, kata Microsoft. Perusahaan harus menggunakan autentikasi multifaktor (MFA) di semua akun di seluruh organisasi dan memastikan mereka memantau aliran data autentikasi agar memiliki visibilitas terhadap potensi kejadian mencurigakan.
- Konten Bertenaga SEO & Distribusi PR. Dapatkan Amplifikasi Hari Ini.
- Platoblockchain. Intelijen Metaverse Web3. Pengetahuan Diperkuat. Akses Di Sini.
- Sumber: https://www.darkreading.com/vulnerabilities-threats/magicweb-mystery-highlights-nobelium-attacker-sophistication
- 7
- a
- kemampuan
- mengakses
- Menurut
- Akun
- di seluruh
- aktif
- aktor
- Ad
- tambahan
- administratif
- maju
- laporan
- Semua
- dan
- APT
- bersenjata
- Asia
- Majelis
- Aktiva
- menyerang
- Serangan
- Agustus
- Otentikasi
- pintu belakang
- Buruk
- TERBAIK
- pelanggaran
- Melanggar
- dibangun di
- Cache
- bernama
- Kampanye
- Menangkap
- pusat
- Asia Tengah
- sertifikat
- sertifikasi
- rantai
- Perubahan
- Catur
- awan
- kode
- Perusahaan
- perusahaan
- Biaya
- bisa
- pelanggan
- maya
- Serangan cyber
- DART
- data
- mendalam
- Pertahanan
- defensif
- dijelaskan
- Deteksi
- domain
- turun
- dinamis
- usaha
- Eropa
- peristiwa
- Setiap
- mengeksekusi
- Pertama
- aliran
- Mengalir
- terfokus
- dari
- FS
- mendapatkan
- permainan
- Aksi
- Pemerintah
- Kelompok
- Grup
- peretasan
- membantu
- highlight
- sangat
- host
- HTTPS
- identitas
- manajemen identitas
- mengimplementasikan
- impresif
- in
- insiden
- respon insiden
- meningkatkan
- makin
- Infrastruktur
- diinstal
- Penyidik
- Tingkat
- Perpustakaan
- MEMBATASI
- LINK
- mesin
- membuat
- malware
- pengelolaan
- Kelas master
- ukuran
- MFA
- Microsoft
- modern
- Moneter
- Memantau
- paling
- pindah
- otentikasi multifaktor
- beberapa
- Misteri
- Perlu
- bersih
- jaringan
- LSM
- normal
- Penawaran
- Operasi
- organisasi
- organisatoris
- organisasi
- Lainnya
- dipasangkan
- Paralel
- bagian
- memelopori
- Platform
- plato
- Kecerdasan Data Plato
- Data Plato
- Bermain
- bermain
- potensi
- mencegah
- sebelumnya
- istimewa
- hak
- Prosedur
- proses
- Protektif
- penyedia
- menaikkan
- sisa
- membutuhkan
- tanggapan
- Tersebut
- sama
- Seri
- Server
- Layanan
- harus
- Pertunjukkan
- tunggal
- So
- mutakhir
- khususnya
- mensponsori
- menyatakan
- seperti itu
- menyediakan
- Rantai pasokan
- mendukung
- mencurigakan
- sistem
- sistem
- taktik
- Tank
- ditargetkan
- penargetan
- tim
- Teknis
- teknik
- Teknologi
- Grafik
- mereka
- pihak ketiga
- ancaman
- aktor ancaman
- Melalui
- di seluruh
- tingkat
- untuk
- alat
- menyentuh
- mengobati
- menemukan
- unik
- tak terbatas
- TANPA NAMA
- us
- menggunakan
- Pengguna
- jarak penglihatan
- Apa
- yang
- SIAPA
- zephyrnet.dll
