Microsoft는 러시아와 연결된 Nobelium 그룹이 개척한 AD FS(Active Directory Federated Services)에 대한 정교한 인증 우회를 추적했습니다.
Microsoft가 MagicWeb이라고 부르는 인증 우회를 허용하는 맬웨어는 Nobelium이 이름 없는 고객의 AD FS 서버에 백도어를 이식한 다음 특수 제작된 인증서를 사용하여 일반 인증 프로세스를 우회할 수 있는 기능을 제공했습니다. Microsoft 사건 대응자는 인증 흐름에서 데이터를 수집하고 공격자가 사용한 인증 인증서를 캡처한 다음 백도어 코드를 리버스 엔지니어링했습니다.
XNUMX명의 조사관은 "어떻게 했는지"보다 "누군가"에 초점을 맞추지 않았습니다. Microsoft의 탐지 및 대응 팀(DART) Incident Response Cyberattack Series 간행물에 명시된.
"노벨리움과 같은 국가 공격자들은 스폰서로부터 무제한적인 금전적, 기술적 지원을 받을 뿐만 아니라 독특하고 현대적인 해킹 전술, 기술 및 절차(TTP)에 대한 액세스를 제공합니다."라고 회사는 밝혔습니다. "대부분의 나쁜 배우들과 달리, Nobelium은 그들이 만지는 거의 모든 기계에서 거래 기술을 바꿉니다."
이 공격은 점점 더 기술 공급망을 표적으로 삼는 APT 그룹의 정교함을 강조합니다. SolarWinds와 같은 위반 및 신원 시스템.
사이버 체스의 "마스터 클래스"
MagicWeb은 AD FS 시스템에 대한 관리 액세스 권한을 얻어 네트워크를 통해 측면 이동하기 위해 높은 권한을 가진 인증을 사용했습니다. AD FS는 온-프레미스 및 타사 클라우드 시스템에서 SSO(Single Sign-On)를 구현하는 방법을 제공하는 ID 관리 플랫폼입니다. 노벨리움 그룹은 .NET 인프라의 모호한 부분인 Global Assembly Cache에 설치된 백도어 동적 링크 라이브러리(DLL)와 멀웨어를 짝지었다고 Microsoft는 말했습니다.
매직웹은 Microsoft는 2022년 XNUMX월에 처음 설명했습니다., AD FS 서버에서 인증서를 훔칠 수 있는 FoggyWeb과 같은 이전 악용 후 도구를 기반으로 구축되었습니다. 이를 통해 공격자는 조직 인프라 깊숙이 들어가 데이터를 유출하고 계정에 침입하고 사용자를 사칭할 수 있습니다.
Microsoft에 따르면 정교한 공격 도구 및 기술을 발견하는 데 필요한 노력의 수준은 공격자의 상위 계층이 기업이 최선의 방어를 수행하도록 요구한다는 것을 보여줍니다.
"대부분의 공격자들은 인상적인 체커 게임을 하지만, 우리는 마스터 클래스 수준의 체스 게임을 하는 지능형 지속적 공격자들을 점점 더 많이 보게 됩니다."라고 회사는 밝혔습니다. “사실, Nobelium은 미국, 유럽 및 중앙아시아 전역의 정부 기관, 비정부 기구(NGO), 정부 간 기구(IGO) 및 싱크 탱크를 대상으로 동시에 여러 캠페인을 실행하면서 매우 활발하게 활동하고 있습니다.”
ID 시스템에 대한 권한 제한
회사는 AD FS 시스템과 모든 ID 공급자(IdP)를 도메인 컨트롤러와 동일한 보호 계층(계층 0)의 권한 있는 자산으로 취급해야 한다고 Microsoft는 사고 대응 권고에서 밝혔습니다. 이러한 조치는 해당 호스트에 액세스할 수 있는 사람과 해당 호스트가 다른 시스템에서 수행할 수 있는 작업을 제한합니다.
또한 사이버 공격자의 운영 비용을 높이는 모든 방어 기술은 공격을 방지하는 데 도움이 될 수 있다고 Microsoft는 말했습니다. 회사는 조직 전체의 모든 계정에서 다단계 인증(MFA)을 사용하고 인증 데이터 흐름을 모니터링하여 잠재적인 의심스러운 이벤트에 대한 가시성을 확보해야 합니다.
- SEO 기반 콘텐츠 및 PR 배포. 오늘 증폭하십시오.
- 플라토 블록체인. Web3 메타버스 인텔리전스. 지식 증폭. 여기에서 액세스하십시오.
- 출처: https://www.darkreading.com/vulnerabilities-threats/magicweb-mystery-highlights-nobelium-attacker-sophistication
- 7
- a
- 능력
- ACCESS
- 에 따르면
- 계정
- 가로질러
- 활동적인
- 배우
- Ad
- 또한
- 관리
- 많은
- 자문
- All
- 및
- APT
- 무장한
- 아시아
- 조립
- 자산
- 공격
- 공격
- 8월
- 인증
- 뒷문
- 나쁜
- BEST
- 위반
- 파괴
- 내장
- 캐시
- 라는
- 캠페인
- 캡처
- 중심적인
- 중앙 아시아
- 인증
- 인증
- 쇠사슬
- 변경
- 체스
- 클라우드
- 암호
- 기업
- 회사
- 비용
- 수
- 고객
- 사이버
- 사이버 공격
- DART
- 데이터
- 깊은
- 방위산업
- 방어적인
- 기술 된
- Detection System
- 도메인
- 아래 (down)
- 동적
- 노력
- 유럽
- 이벤트
- 모든
- 실행
- 먼저,
- 흐름
- 흐름
- 집중
- 에
- FS
- 획득
- 경기
- 글로벌
- Government
- 그룹
- 여러 떼
- 컴퓨터 조작을 즐기기
- 도움
- 하이라이트
- 고도로
- 호스트
- HTTPS
- 통합 인증
- 신원 관리
- 구현
- 인상
- in
- 사건
- 사고 대응
- 증가
- 더욱 더
- 인프라
- 설치
- 수사
- 레벨
- 도서관
- 제한
- LINK
- 기계
- 확인
- 악성 코드
- 구축
- 마스터 반
- 조치들
- MFA
- Microsoft
- 현대
- 화폐
- 모니터
- 가장
- 움직임
- 다단계 인증
- 여러
- 신비
- 필요
- 그물
- 네트워크
- 시민 단체
- 표준
- 제공
- 행정부
- 조직
- 조직
- 조직
- 기타
- 쌍을 이루는
- 평행
- 조각
- 개척 된
- 플랫폼
- 플라톤
- 플라톤 데이터 인텔리전스
- 플라토데이터
- 연극
- 연주
- 가능성
- 예방
- 너무 이른
- 특권
- 권한
- 절차
- 방법
- 보호하는
- 제공
- 모집
- 유적
- 필요
- 응답
- 말했다
- 같은
- 연속
- 서버
- 서비스
- 영상을
- 쇼
- 단일
- So
- 정교한
- 특별히
- 스폰서
- 정해진
- 이러한
- 공급
- 공급망
- SUPPORT
- 의심 많은
- 체계
- 시스템은
- 전술
- 탱크
- 대상
- 대상
- 팀
- 테크니컬
- 기법
- Technology
- XNUMXD덴탈의
- 그들의
- 타사
- 위협
- 위협 행위자
- 을 통하여
- 도처에
- 층
- 에
- 검색을
- 터치
- 치료
- 폭로하다
- 유일한
- 무제한
- 이름 없음
- us
- 사용
- 사용자
- 가시성
- 뭐
- 어느
- 누구
- 제퍼 넷
