Microsoft ha rintracciato un sofisticato bypass di autenticazione per Active Directory Federated Services (AD FS), introdotto dal gruppo Nobelium collegato alla Russia.
Il malware che ha permesso di aggirare l'autenticazione, che Microsoft ha chiamato MagicWeb, ha dato a Nobelium la possibilità di impiantare una backdoor sul server AD FS del cliente senza nome, quindi utilizzare certificati appositamente predisposti per aggirare il normale processo di autenticazione. Gli addetti alla risposta agli incidenti Microsoft hanno raccolto dati sul flusso di autenticazione, acquisendo i certificati di autenticazione utilizzati dall'aggressore e quindi hanno decodificato il codice backdoor.
Gli otto investigatori non erano concentrati "tanto su un giallo quanto su come farlo", ha affermato il Detection and Response Team (DART) di Microsoft. dichiarato nella pubblicazione Incident Response Cyberattack Series.
"Gli aggressori di livello nazionale come Nobelium hanno un supporto monetario e tecnico apparentemente illimitato da parte dei loro sponsor, nonché l'accesso a tattiche, tecniche e procedure di hacking (TTP) uniche e moderne", ha affermato la società. "A differenza della maggior parte dei malintenzionati, Nobelium cambia il proprio mestiere su quasi ogni macchina che tocca."
L’attacco sottolinea la crescente sofisticatezza dei gruppi APT, che hanno sempre più preso di mira le catene di approvvigionamento tecnologico, come i SolarWinds violazione e sistemi di identità.
Un “Masterclass” di Cyber Chess
MagicWeb ha utilizzato certificazioni con privilegi elevati per spostarsi lateralmente attraverso la rete ottenendo l'accesso amministrativo a un sistema AD FS. AD FS è una piattaforma di gestione delle identità che offre un modo per implementare il Single Sign-On (SSO) su sistemi cloud locali e di terze parti. Il gruppo Nobelium ha accoppiato il malware con una libreria di collegamento dinamico (DLL) backdoor installata nella Global Assembly Cache, un pezzo oscuro dell'infrastruttura .NET, ha affermato Microsoft.
MagicWeb, che Microsoft descritto per la prima volta nell'agosto 2022, è stato basato su precedenti strumenti post-sfruttamento, come FoggyWeb, che poteva rubare certificati dai server AD FS. Armati di questi, gli aggressori potrebbero penetrare in profondità nell’infrastruttura organizzativa, esfiltrando dati lungo il percorso, violando gli account e impersonando gli utenti.
Secondo Microsoft, il livello di impegno necessario per scoprire i sofisticati strumenti e tecniche di attacco dimostra che i livelli più alti degli aggressori richiedono che le aziende facciano della loro migliore difesa.
"La maggior parte degli aggressori gioca a dama in modo impressionante, ma vediamo sempre più spesso attori di minacce persistenti avanzate giocare a scacchi a livello di masterclass", ha affermato la società. “In effetti, Nobelium rimane molto attivo, eseguendo molteplici campagne in parallelo prendendo di mira organizzazioni governative, organizzazioni non governative (ONG), organizzazioni intergovernative (IGO) e think tank negli Stati Uniti, in Europa e in Asia centrale”.
Limitare i privilegi per i sistemi di identità
Le aziende devono trattare i sistemi ADFS e tutti i provider di identità (IdP) come risorse privilegiate nello stesso livello di protezione (Livello 0) dei controller di dominio, ha affermato Microsoft nel suo avviso di risposta agli incidenti. Tali misure limitano chi può accedere a tali host e cosa possono fare questi host su altri sistemi.
Inoltre, qualsiasi tecnica difensiva che aumenti il costo delle operazioni per gli aggressori informatici può aiutare a prevenire gli attacchi, ha affermato Microsoft. Le aziende dovrebbero utilizzare l’autenticazione a più fattori (MFA) su tutti gli account dell’organizzazione e assicurarsi di monitorare i flussi di dati di autenticazione per avere visibilità su potenziali eventi sospetti.
- Distribuzione di contenuti basati su SEO e PR. Ricevi amplificazione oggi.
- Platoblockchain. Web3 Metaverse Intelligence. Conoscenza amplificata. Accedi qui.
- Fonte: https://www.darkreading.com/vulnerabilities-threats/magicweb-mystery-highlights-nobelium-attacker-sophistication
- 7
- a
- capacità
- accesso
- Secondo
- conti
- operanti in
- attivo
- attori
- Ad
- aggiunta
- amministrativo
- Avanzate
- consultivo
- Tutti
- ed
- APT
- armato
- Asia
- montaggio
- Attività
- attacco
- attacchi
- AGOSTO
- Autenticazione
- porta posteriore
- Vasca
- MIGLIORE
- violazione
- Rottura
- costruito
- Cache
- detto
- Responsabile Campagne
- Catturare
- centrale
- Asia centrale
- certificato
- certificazioni
- Catene
- Modifiche
- Scacchi
- Cloud
- codice
- Aziende
- azienda
- Costo
- potuto
- cliente
- Cyber
- Attacco informatico
- DART
- dati
- deep
- Difesa
- difensiva
- descritta
- rivelazione
- dominio
- giù
- dinamico
- sforzo
- Europa
- eventi
- Ogni
- esecuzione
- Nome
- flusso
- flussi
- concentrato
- da
- FS
- guadagnando
- gioco
- globali
- Enti Pubblici
- Gruppo
- Gruppo
- pirateria informatica
- Aiuto
- evidenzia
- vivamente
- padroni di casa
- HTTPS
- Identità
- gestione dell'identità
- Implementazione
- impressionante
- in
- incidente
- risposta agli incidenti
- crescente
- sempre più
- Infrastruttura
- installato
- Investigatori
- Livello
- Biblioteca
- LIMITE
- LINK
- macchina
- make
- il malware
- gestione
- Masterclass
- analisi
- AMF
- Microsoft
- moderno
- Monetario
- Monitorare
- maggior parte
- cambiano
- autenticazione a più fattori
- multiplo
- Mistero
- Bisogno
- rete
- Rete
- ONG
- normale
- Offerte
- Operazioni
- organizzazione
- organizzativa
- organizzazioni
- Altro
- accoppiato
- Parallel
- pezzo
- pioniere
- piattaforma
- Platone
- Platone Data Intelligence
- PlatoneDati
- Giocare
- gioco
- potenziale
- prevenire
- precedente
- privilegiato
- privilegi
- procedure
- processi
- protettivo
- fornitori
- aumentare
- resti
- richiedere
- risposta
- Suddetto
- stesso
- Serie
- Server
- Servizi
- dovrebbero
- Spettacoli
- singolo
- So
- sofisticato
- appositamente
- sponsor
- ha dichiarato
- tale
- fornire
- Catene di fornitura
- supporto
- sospettoso
- sistema
- SISTEMI DI TRATTAMENTO
- tattica
- serbatoi
- mirata
- mira
- team
- Consulenza
- tecniche
- Tecnologia
- Il
- loro
- di parti terze standard
- minaccia
- attori della minaccia
- Attraverso
- per tutto
- fila
- a
- strumenti
- toccare
- trattare
- scoprire
- unico
- illimitato
- SENZA NOME
- us
- uso
- utenti
- visibilità
- Che
- quale
- OMS
- zefiro
