Microsoft har sporet opp en sofistikert autentiseringsbypass for Active Directory Federated Services (AD FS), som ble utviklet av den Russland-tilknyttede Nobelium-gruppen.
Skadevaren som tillot autentiseringsomkjøringen – som Microsoft kalte MagicWeb – ga Nobelium muligheten til å implantere en bakdør på den ikke navngitte kundens AD FS-server, og deretter bruke spesiallagde sertifikater for å omgå den normale autentiseringsprosessen. Microsoft-hendelsesreagerer samlet inn data om autentiseringsflyten, fanget opp autentiseringssertifikatene som ble brukt av angriperen, og omvendt konstruerte bakdørkoden.
De åtte etterforskerne var ikke fokusert «så mye [på] en whodunit som en hvordan-gjort-det», Microsofts Detection and Response Team (DART) oppgitt i sin Incident Response Cyberattack Series-publikasjon.
"Nasjonsstatsangripere som Nobelium har tilsynelatende ubegrenset økonomisk og teknisk støtte fra sponsoren sin, samt tilgang til unike, moderne hacking-taktikker, -teknikker og -prosedyrer (TTP-er)," uttalte selskapet. "I motsetning til de fleste dårlige skuespillere, endrer Nobelium håndverket sitt på nesten hver maskin de berører."
Angrepet understreker den økende sofistikeringen til APT-grupper, som i økende grad har målrettet teknologiforsyningskjeder, som SolarWinds brudd, og identitetssystemer.
En "mesterklasse" i cybersjakk
MagicWeb brukte svært privilegerte sertifiseringer for å bevege seg sideveis gjennom nettverket ved å få administrativ tilgang til et AD FS-system. AD FS er en identitetsadministrasjonsplattform som tilbyr en måte å implementere enkeltpålogging (SSO) på tvers av lokale og tredjeparts skysystemer. Nobelium-gruppen paret skadevaren med et bakdørs dynamisk lenkebibliotek (DLL) installert i Global Assembly Cache, en obskur del av .NET-infrastrukturen, sa Microsoft.
MagicWeb, som Microsoft ble først beskrevet i august 2022, ble bygget på tidligere verktøy etter utnyttelse, for eksempel FoggyWeb, som kunne stjele sertifikater fra AD FS-servere. Bevæpnet med disse kunne angriperne ta seg dypt inn i organisatorisk infrastruktur, eksfiltrere data underveis, bryte seg inn på kontoer og etterligne brukere.
Innsatsnivået som trengs for å avdekke de sofistikerte angrepsverktøyene og teknikkene viser at de øvre sjiktene av angripere krever at selskaper spiller sitt beste forsvar, ifølge Microsoft.
"De fleste angripere spiller et imponerende spill dam, men i økende grad ser vi avanserte vedvarende trusselaktører som spiller et sjakkspill på mesterklassenivå," sa selskapet. "Faktisk er Nobelium fortsatt svært aktivt, og utfører flere kampanjer parallelt rettet mot offentlige organisasjoner, ikke-statlige organisasjoner (NGOer), mellomstatlige organisasjoner (IGOs) og tenketanker over hele USA, Europa og Sentral-Asia."
Begrens privilegier for identitetssystemer
Bedrifter må behandle AD FS-systemer og alle identitetsleverandører (IdPs) som privilegerte eiendeler i samme beskyttelsesnivå (Tier 0) som domenekontrollere, uttalte Microsoft i sin hendelsesvarsmelding. Slike tiltak begrenser hvem som kan få tilgang til disse vertene og hva de kan gjøre på andre systemer.
I tillegg kan alle defensive teknikker som øker driftskostnadene for nettangripere bidra til å forhindre angrep, uttalte Microsoft. Bedrifter bør bruke multifaktorautentisering (MFA) på tvers av alle kontoer i hele organisasjonen og sørge for at de overvåker autentiseringsdatastrømmene for å ha innsyn i potensielle mistenkelige hendelser.
- SEO-drevet innhold og PR-distribusjon. Bli forsterket i dag.
- Platoblokkkjede. Web3 Metaverse Intelligence. Kunnskap forsterket. Tilgang her.
- kilde: https://www.darkreading.com/vulnerabilities-threats/magicweb-mystery-highlights-nobelium-attacker-sophistication
- 7
- a
- evne
- adgang
- Ifølge
- kontoer
- tvers
- aktiv
- aktører
- Ad
- tillegg
- administrativ
- avansert
- rådgivende
- Alle
- og
- APT
- væpnet
- asia
- Montering
- Eiendeler
- angripe
- Angrep
- August
- Autentisering
- backdoor
- dårlig
- BEST
- brudd
- Breaking
- bygget
- Cache
- som heter
- Kampanjer
- fange
- sentral
- sentral Asia
- sertifikater
- sertifiseringer
- kjeder
- Endringer
- Sjakk
- Cloud
- kode
- Selskaper
- Selskapet
- Kostnad
- kunne
- kunde
- cyber
- Cyber angrep
- DART
- dato
- dyp
- Forsvar
- defensiv
- beskrevet
- Gjenkjenning
- domene
- ned
- dynamisk
- innsats
- Europa
- hendelser
- Hver
- utførende
- Først
- flyten
- Flows
- fokuserte
- fra
- FS
- få
- spill
- Global
- Regjeringen
- Gruppe
- Gruppens
- hacking
- hjelpe
- striper
- svært
- Vertskapet
- HTTPS
- Identitet
- identitetshåndtering
- implementere
- imponerende
- in
- hendelse
- hendelsesrespons
- økende
- stadig
- Infrastruktur
- installerte
- etterforskerne
- Nivå
- Bibliotek
- BEGRENSE
- LINK
- maskin
- gjøre
- malware
- ledelse
- master~~POS=TRUNC
- målinger
- MFA
- Microsoft
- Moderne
- Monetære
- Overvåke
- mest
- flytte
- multifaktorautentisering
- flere
- Mystery
- Trenger
- nett
- nettverk
- Frivillige organisasjoner
- normal
- Tilbud
- Drift
- organisasjon
- organisasjons
- organisasjoner
- Annen
- sammen
- Parallel
- brikke
- pionerer
- plattform
- plato
- Platon Data Intelligence
- PlatonData
- Spille
- spiller
- potensiell
- forebygge
- forrige
- privilegert
- privilegier
- prosedyrer
- prosess
- Beskyttende
- tilbydere
- heve
- forblir
- krever
- svar
- Sa
- samme
- Serien
- Servere
- Tjenester
- bør
- Viser
- enkelt
- So
- sofistikert
- spesielt
- sponse
- uttalte
- slik
- levere
- Forsyningskjeder
- støtte
- mistenkelig
- system
- Systemer
- taktikk
- tanker
- målrettet
- rettet mot
- lag
- Teknisk
- teknikker
- Teknologi
- De
- deres
- tredjeparts
- trussel
- trusselaktører
- Gjennom
- hele
- nivået
- til
- verktøy
- berøre
- behandle
- avdekke
- unik
- ubegrenset
- UNAVNT
- us
- bruke
- Brukere
- synlighet
- Hva
- hvilken
- HVEM
- zephyrnet
