Firma Microsoft wyśledziła wyrafinowane obejście uwierzytelniania dla Active Directory Federated Services (AD FS), zapoczątkowane przez powiązaną z Rosją grupę Nobelium.
Złośliwe oprogramowanie, które umożliwiło ominięcie uwierzytelniania — które Microsoft nazwał MagicWeb — dało Nobelium możliwość wszczepienia backdoora na serwerze AD FS bezimiennego klienta, a następnie użycia specjalnie spreparowanych certyfikatów w celu obejścia normalnego procesu uwierzytelniania. Osoby reagujące na incydenty firmy Microsoft zebrały dane dotyczące przepływu uwierzytelniania, przechwytując certyfikaty uwierzytelniające używane przez osobę atakującą, a następnie dokonały inżynierii wstecznej kodu backdoora.
Ośmiu śledczych nie skupiało się „tak bardzo na zagadce kryminalnej, jak na tym, jak to zrobić”, zespół ds. wykrywania i reagowania firmy Microsoft (DART) podano w publikacji Incident Response Cyberattack Series.
„Napastnicy państw narodowych, tacy jak Nobelium, mają pozornie nieograniczone wsparcie finansowe i techniczne od swojego sponsora, a także dostęp do unikalnych, nowoczesnych taktyk, technik i procedur hakerskich (TTP)” – stwierdziła firma. „W przeciwieństwie do większości złych aktorów, Nobelium zmienia swoje rzemiosło na prawie każdej maszynie, której dotkną”.
Atak podkreśla rosnące wyrafinowanie grup APT, które w coraz większym stopniu atakują łańcuchy dostaw technologii, jak SolarWinds naruszenie i systemy tożsamości.
„Klasa mistrzowska” w cyberszachach
Firma MagicWeb korzystała z wysoce uprzywilejowanych certyfikatów, aby przemieszczać się poprzecznie po sieci, uzyskując dostęp administracyjny do systemu AD FS. AD FS to platforma do zarządzania tożsamościami, która oferuje sposób wdrażania pojedynczego logowania (SSO) w systemach chmurowych lokalnych i innych firm. Grupa Nobelium sparowała złośliwe oprogramowanie z biblioteką dołączaną dynamicznie backdoora (DLL) zainstalowaną w Global Assembly Cache, mało znanym elemencie infrastruktury .NET, powiedział Microsoft.
MagicWeb, który Microsoft po raz pierwszy opisał w sierpniu 2022 r, został zbudowany na wcześniejszych narzędziach post-eksploatacyjnych, takich jak FoggyWeb, które mogły kraść certyfikaty z serwerów AD FS. Uzbrojeni w nie napastnicy mogą przedostać się w głąb infrastruktury organizacyjnej, po drodze eksfiltrując dane, włamując się na konta i podszywając się pod użytkowników.
Zdaniem Microsoft poziom wysiłku potrzebny do odkrycia wyrafinowanych narzędzi i technik ataku pokazuje, że wyższe szczeble atakujących wymagają od firm jak najlepszej obrony.
„Większość atakujących gra imponującą grę w warcaby, ale coraz częściej widzimy zaawansowanych, uporczywych cyberprzestępców grających w szachy na poziomie mistrzowskim” — stwierdziła firma. „W rzeczywistości Nobelium pozostaje bardzo aktywny, prowadząc równolegle wiele kampanii skierowanych do organizacji rządowych, organizacji pozarządowych (NGO), organizacji międzyrządowych (IGO) i think tanków w Stanach Zjednoczonych, Europie i Azji Środkowej”.
Ogranicz uprawnienia dla systemów tożsamości
Firmy muszą traktować systemy AD FS i wszystkich dostawców tożsamości (IdP) jako zasoby uprzywilejowane w tej samej warstwie ochrony (Tier 0) co kontrolery domeny, stwierdził Microsoft w swoim poradniku dotyczącym reagowania na incydenty. Takie środki ograniczają, kto może uzyskać dostęp do tych hostów i co te hosty mogą robić w innych systemach.
Ponadto wszelkie techniki obronne, które podnoszą koszty operacji dla cyberatakujących, mogą pomóc w zapobieganiu atakom, stwierdził Microsoft. Firmy powinny stosować uwierzytelnianie wieloskładnikowe (MFA) na wszystkich kontach w całej organizacji i upewnić się, że monitorują przepływy danych uwierzytelniających, aby mieć wgląd w potencjalne podejrzane zdarzenia.
- Dystrybucja treści i PR oparta na SEO. Uzyskaj wzmocnienie już dziś.
- Platoblockchain. Web3 Inteligencja Metaverse. Wzmocniona wiedza. Dostęp tutaj.
- Źródło: https://www.darkreading.com/vulnerabilities-threats/magicweb-mystery-highlights-nobelium-attacker-sophistication
- 7
- a
- zdolność
- dostęp
- Stosownie
- Konta
- w poprzek
- aktywny
- aktorzy
- Ad
- dodatek
- administracyjny
- zaawansowany
- doradczy
- Wszystkie kategorie
- i
- APT
- uzbrojony
- Azja
- Montaż
- Aktywa
- atakować
- Ataki
- Sierpnia
- Uwierzytelnianie
- tylne drzwi
- Łazienka
- BEST
- naruszenie
- Przełamując
- wybudowany
- Cache
- nazywa
- Kampanie
- Przechwytywanie
- centralny
- Azja centralna
- certyfikaty
- certyfikaty
- więzy
- Zmiany
- Szachy
- Chmura
- kod
- Firmy
- sukcesy firma
- Koszty:
- mógłby
- klient
- cyber
- Cyber atak
- DART
- dane
- głęboko
- Obrona
- obronny
- opisane
- Wykrywanie
- domena
- na dół
- dynamiczny
- wysiłek
- Europie
- wydarzenia
- Każdy
- wykonywania
- i terminów, a
- pływ
- Przepływy
- koncentruje
- od
- FS
- zyskuje
- gra
- Globalne
- Rząd
- Zarządzanie
- Grupy
- włamanie
- pomoc
- pasemka
- wysoko
- gospodarze
- HTTPS
- tożsamość
- zarządzanie tożsamością
- wykonawczych
- imponujący
- in
- incydent
- reakcja na incydent
- wzrastający
- coraz bardziej
- Infrastruktura
- zainstalowany
- Śledczy
- poziom
- Biblioteka
- LIMIT
- LINK
- maszyna
- robić
- malware
- i konserwacjami
- Masterclass
- środków
- MSZ
- Microsoft
- Nowoczesne technologie
- Monetarny
- monitor
- większość
- ruch
- uwierzytelnianie wieloczynnikowe
- wielokrotność
- Tajemnica
- Potrzebować
- netto
- sieć
- NGO
- normalna
- Oferty
- operacje
- organizacja
- organizacyjny
- organizacji
- Inne
- sparowany
- Parallel
- kawałek
- pionierem
- Platforma
- plato
- Analiza danych Platona
- PlatoDane
- Grać
- gra
- potencjał
- zapobiec
- poprzedni
- uprzywilejowany
- przywileje
- procedury
- wygląda tak
- Ochronny
- dostawców
- podnieść
- szczątki
- wymagać
- odpowiedź
- Powiedział
- taki sam
- Serie
- Serwery
- Usługi
- powinien
- Targi
- pojedynczy
- So
- wyrafinowany
- specjalnie
- sponsorować
- stwierdził,
- taki
- Dostawa
- Dostarczać łańcuchy
- wsparcie
- podejrzliwy
- system
- systemy
- taktyka
- zbiorniki
- ukierunkowane
- kierowania
- zespół
- Techniczny
- Techniki
- Technologia
- Połączenia
- ich
- innych firm
- groźba
- podmioty grożące
- Przez
- poprzez
- poziom
- do
- narzędzia
- Kontakt
- leczyć
- odkryć
- wyjątkowy
- nieograniczone
- ANONIMOWY
- us
- posługiwać się
- Użytkownicy
- widoczność
- Co
- który
- KIM
- zefirnet