O mistério da MagicWeb destaca a sofisticação do invasor Nobelium

A Microsoft rastreou um desvio de autenticação sofisticado para os Serviços Federados do Active Directory (AD FS), iniciado pelo grupo Nobelium, vinculado à Rússia. 

O malware que permitiu o desvio de autenticação – que a Microsoft chamou de MagicWeb – deu ao Nobelium a capacidade de implantar um backdoor no servidor AD FS do cliente não identificado e, em seguida, usar certificados especialmente criados para ignorar o processo normal de autenticação. Os respondentes de incidentes da Microsoft coletaram dados no fluxo de autenticação, capturando os certificados de autenticação usados ​​pelo invasor e, em seguida, fizeram a engenharia reversa do código backdoor.

Os oito investigadores não estavam focados “tanto [em] um mistério como em como fazer isso”, a Equipe de Detecção e Resposta (DART) da Microsoft afirmou em sua publicação Incident Response Cyberattack Series.

“Atacantes de estado-nação como Nobelium têm suporte monetário e técnico aparentemente ilimitado de seu patrocinador, bem como acesso a táticas, técnicas e procedimentos (TTPs) de hackers modernos e exclusivos”, afirmou a empresa. “Ao contrário da maioria dos maus atores, Nobelium muda seu ofício em quase todas as máquinas que tocam.”

O ataque ressalta a crescente sofisticação dos grupos APT, que visam cada vez mais as cadeias de suprimentos de tecnologia, como o SolarWinds violação, e sistemas de identidade. 

Uma “Masterclass” em Cyber ​​Chess

A MagicWeb usou certificações altamente privilegiadas para se mover lateralmente pela rede obtendo acesso administrativo a um sistema AD FS. O AD FS é uma plataforma de gerenciamento de identidade que oferece uma maneira de implementar o logon único (SSO) em sistemas de nuvem locais e de terceiros. O grupo Nobelium combinou o malware com uma biblioteca de vínculo dinâmico (DLL) backdoor instalada no Global Assembly Cache, uma parte obscura da infraestrutura .NET, disse a Microsoft.

MagicWeb, que Microsoft descrita pela primeira vez em agosto de 2022, foi criado em ferramentas de pós-exploração anteriores, como FoggyWeb, que pode roubar certificados de servidores AD FS. Armados com eles, os invasores podem penetrar profundamente na infraestrutura organizacional, exfiltrando dados ao longo do caminho, invadindo contas e se passando por usuários.

O nível de esforço necessário para descobrir as sofisticadas ferramentas e técnicas de ataque mostra que os escalões superiores dos invasores exigem que as empresas façam sua melhor defesa, de acordo com a Microsoft.

“A maioria dos invasores joga um jogo de damas impressionante, mas cada vez mais vemos agentes de ameaças persistentes avançados jogando um jogo de xadrez de nível mestre”, afirmou a empresa. “Na verdade, a Nobelium continua altamente ativa, executando várias campanhas em paralelo visando organizações governamentais, organizações não governamentais (ONGs), organizações intergovernamentais (IGOs) e grupos de reflexão nos EUA, Europa e Ásia Central.”

Limitar Privilégios para Sistemas de Identidade

As empresas precisam tratar os sistemas AD FS e todos os provedores de identidade (IdPs) como ativos privilegiados no mesmo nível de proteção (Nível 0) que os controladores de domínio, afirmou a Microsoft em seu comunicado de resposta a incidentes. Essas medidas limitam quem pode acessar esses hosts e o que esses hosts podem fazer em outros sistemas. 

Além disso, quaisquer técnicas defensivas que aumentem o custo das operações para ciberataques podem ajudar a prevenir ataques, afirmou a Microsoft. As empresas devem usar a autenticação multifator (MFA) em todas as contas da organização e certificar-se de monitorar os fluxos de dados de autenticação para ter visibilidade de possíveis eventos suspeitos.

• Conteúdo com tecnologia de SEO e distribuição de relações públicas. Seja amplificado hoje.
• Platoblockchain. Inteligência Metaverso Web3. Conhecimento Ampliado. Acesse aqui.
• Fonte: https://www.darkreading.com/vulnerabilities-threats/magicweb-mystery-highlights-nobelium-attacker-sophistication