マイクロソフトは、ロシアに関連する Nobelium グループによって開発された Active Directory Federated Services (AD FS) の高度な認証バイパスを突き止めました。
認証バイパスを可能にするマルウェア (Microsoft は MagicWeb と呼んでいます) により、Nobelium は匿名の顧客の AD FS サーバーにバックドアを埋め込み、特別に細工された証明書を使用して通常の認証プロセスをバイパスすることができました。 マイクロソフトのインシデント レスポンダーは、認証フローに関するデータを収集し、攻撃者が使用した認証証明書を取得してから、バックドア コードをリバース エンジニアリングしました。
XNUMX 人の調査員は、Microsoft の検出および対応チーム (DART) によると、「誰がどのように実行するかということよりも、誰がどのように行うかに重点を置いていませんでした。 Incident Response Cyberattack Seriesの出版物に記載されています.
「Nobelium のような国家レベルの攻撃者は、スポンサーから一見無制限の金銭的および技術的サポートを受けているだけでなく、独自の最新のハッキング戦術、技術、および手順 (TTP) にアクセスできます」と同社は述べています。 「ほとんどの悪役とは異なり、Nobelium は彼らが触れるほとんどすべてのマシンで彼らのトレード クラフトを変更します。」
この攻撃は、技術サプライ チェーンをますます標的とする APT グループの巧妙化を浮き彫りにしています。 SolarWindsなど 違反、および ID システム.
サイバーチェスの「マスタークラス」
MagicWeb は、AD FS システムへの管理アクセスを取得することで、高度な特権を持つ証明書を使用してネットワークを横方向に移動しました。 AD FS は、オンプレミスおよびサード パーティのクラウド システム全体でシングル サインオン (SSO) を実装する方法を提供する ID 管理プラットフォームです。 Nobelium グループは、.NET インフラストラクチャのあいまいな部分である Global Assembly Cache にインストールされたバックドア ダイナミック リンク ライブラリ (DLL) とマルウェアを組み合わせた、と Microsoft は述べています。
マジックウェブ、 Microsoft は 2022 年 XNUMX 月に最初に説明されましたは、AD FS サーバーから証明書を盗むことができる FoggyWeb などの以前のエクスプロイト後のツールに基づいて構築されました。 これらを武器に、攻撃者は組織のインフラストラクチャに深く侵入し、途中でデータを盗み出し、アカウントに侵入し、ユーザーになりすます可能性があります。
Microsoft によると、高度な攻撃ツールと手法を明らかにするために必要な労力のレベルは、攻撃者の上層部が企業に最善の防御策を講じることを要求していることを示しています。
「ほとんどの攻撃者は印象的なチェッカー ゲームをプレイしますが、マスタークラス レベルのチェス ゲームをプレイする高度で持続的な攻撃者を目にすることが増えています」と同社は述べています。 「実際、Nobelium は引き続き非常に活発であり、米国、ヨーロッパ、中央アジアの政府機関、非政府組織 (NGO)、政府間組織 (IGO)、およびシンクタンクを標的とした複数のキャンペーンを並行して実行しています。」
ID システムの権限を制限する
企業は、AD FS システムとすべての ID プロバイダー (IdP) を、ドメイン コントローラーと同じ保護層 (層 0) 内の特権資産として扱う必要があると、Microsoft はインシデント対応アドバイザリで述べています。 このような手段により、これらのホストにアクセスできるユーザーと、それらのホストが他のシステムで実行できる操作が制限されます。
さらに、サイバー攻撃者の運用コストを引き上げる防御手法は、攻撃の防止に役立つ可能性があると Microsoft は述べています。 企業は、組織全体のすべてのアカウントで多要素認証 (MFA) を使用し、認証データ フローを監視して、潜在的な疑わしいイベントを可視化する必要があります。
- SEO を活用したコンテンツと PR 配信。 今日増幅されます。
- Platoblockchain。 Web3メタバースインテリジェンス。 知識の増幅。 こちらからアクセスしてください。
- 情報源: https://www.darkreading.com/vulnerabilities-threats/magicweb-mystery-highlights-nobelium-attacker-sophistication
- 7
- a
- 能力
- アクセス
- 従った
- アカウント
- 越えて
- アクティブ
- 俳優
- Ad
- 添加
- 行政の
- 高度な
- アドバイザリー
- すべて
- および
- APT
- 武装した
- アジア
- アセンブリ
- 資産
- 攻撃
- 攻撃
- 8月
- 認証
- 裏口
- 悪い
- BEST
- 違反
- 破壊
- 内蔵
- キャッシュ
- 呼ばれます
- キャンペーン
- キャプチャ
- 中央の
- 中央アジア
- 証明書
- 認定
- チェーン
- 変更
- チェス
- クラウド
- コード
- 企業
- 会社
- 費用
- 可能性
- 顧客
- サイバー
- サイバー攻撃
- DART
- データ
- 深いです
- 防衛
- 守備
- 記載された
- 検出
- ドメイン
- ダウン
- ダイナミック
- 努力
- ヨーロッパ
- イベント
- あらゆる
- 実行
- 名
- フロー
- 流れ
- 焦点を当て
- から
- FS
- 獲得
- ゲーム
- グローバル
- 政府・公共機関
- グループ
- グループの
- ハッキング
- 助けます
- ハイライト
- 非常に
- ホスト
- HTTPS
- アイデンティティ
- アイデンティティ管理
- 実装
- 印象的
- in
- 事件
- インシデント対応
- の増加
- ますます
- インフラ
- インストール
- 研究者
- レベル
- 図書館
- LIMIT
- LINK
- 機械
- make
- マルウェア
- 管理
- Masterclass
- 措置
- MFA
- Microsoft
- モダン
- 金銭的な
- モニター
- 最も
- 多要素認証
- の試合に
- 謎
- 必要
- net
- ネットワーク
- NGOの
- 通常の
- オファー
- 業務執行統括
- 組織
- 組織の
- 組織
- その他
- 対になった
- 並列シミュレーションの設定
- ピース
- 開拓者
- プラットフォーム
- プラトン
- プラトンデータインテリジェンス
- プラトデータ
- プレイ
- 再生
- 潜在的な
- 防ぐ
- 前
- 特権を持つ
- 特権
- 手続き
- プロセス
- 保護
- プロバイダ
- 上げる
- 残っている
- 必要とする
- 応答
- 前記
- 同じ
- シリーズ
- サーバー
- サービス
- すべき
- 作品
- So
- 洗練された
- 特別に
- スポンサー
- 明記
- そのような
- 供給
- サプライチェーン
- サポート
- 疑わしい
- システム
- 戦術
- タンク
- 対象となります
- ターゲット
- チーム
- 技術的
- テクニック
- テクノロジー
- アプリ環境に合わせて
- サードパーティ
- 脅威
- 脅威アクター
- 介して
- 全体
- 層
- 〜へ
- 豊富なツール群
- touch
- 治療する
- 明らかにする
- ユニーク
- 無限の
- 名前なし
- us
- つかいます
- users
- 視認性
- この試験は
- which
- 誰
- ゼファーネット
