Microsoft a depistat un bypass sofisticat de autentificare pentru Active Directory Federated Services (AD FS), lansat de grupul Nobelium legat de Rusia.
Malware-ul care a permis ocolirea autentificării – pe care Microsoft l-a numit MagicWeb – i-a oferit lui Nobelium posibilitatea de a implanta o ușă de spate pe serverul AD FS al clientului fără nume, apoi de a utiliza certificate special concepute pentru a ocoli procesul normal de autentificare. Răspunsurile la incidente Microsoft au colectat date despre fluxul de autentificare, captând certificatele de autentificare utilizate de atacator și apoi au realizat inginerie inversă a codului backdoor.
Cei opt anchetatori nu s-au concentrat „atât de mult pe un whodunit cât pe un cum se face”, echipa Microsoft de detectare și răspuns (DART) a declarat în publicația sa din seria de atacuri cibernetice de răspuns la incident.
„Atacatorii statelor naționale precum Nobelium beneficiază de sprijin financiar și tehnic aparent nelimitat din partea sponsorului lor, precum și acces la tactici, tehnici și proceduri (TTP) unice și moderne de hacking”, a declarat compania. „Spre deosebire de majoritatea actorilor răi, Nobelium își schimbă meseria pe aproape fiecare mașină pe care o ating.”
Atacul subliniază sofisticarea tot mai mare a grupurilor APT, care au vizat din ce în ce mai mult lanțurile de aprovizionare cu tehnologie, precum SolarWinds încălcarea, și sisteme de identitate.
Un „Masterclass” în șah cibernetic
MagicWeb a folosit certificări extrem de privilegiate pentru a se deplasa lateral prin rețea, obținând acces administrativ la un sistem AD FS. AD FS este o platformă de gestionare a identității care oferă o modalitate de implementare a conectării unice (SSO) în sistemele cloud locale și terțe. Grupul Nobelium a asociat malware-ul cu o bibliotecă de legături dinamice (DLL) instalată în Global Assembly Cache, o piesă obscure a infrastructurii .NET, a spus Microsoft.
MagicWeb, care Microsoft a descris prima dată în august 2022, a fost construit pe instrumente anterioare de post-exploatare, cum ar fi FoggyWeb, care ar putea fura certificate de la serverele AD FS. Înarmați cu acestea, atacatorii ar putea pătrunde adânc în infrastructura organizațională, exfiltrând date de-a lungul drumului, accesând conturi și usurându-și identitatea utilizatorilor.
Nivelul de efort necesar pentru a descoperi instrumentele și tehnicile sofisticate de atac arată că eșaloanele superioare ale atacatorilor necesită ca companiile să își apere cea mai bună apărare, potrivit Microsoft.
„Majoritatea atacatorilor joacă un joc impresionant de dame, dar din ce în ce mai mult vedem actori avansați de amenințări persistente jucând un joc de șah la nivel de masterclass”, a declarat compania. „De fapt, Nobelium rămâne extrem de activ, executând mai multe campanii în paralel, vizând organizații guvernamentale, organizații neguvernamentale (ONG), organizații interguvernamentale (IGO) și think tank-uri din SUA, Europa și Asia Centrală.”
Limitați privilegiile pentru sistemele de identitate
Companiile trebuie să trateze sistemele AD FS și toți furnizorii de identitate (IdPs) ca active privilegiate în același nivel de protecție (Nivel 0) ca controlorii de domeniu, a declarat Microsoft în avizul său de răspuns la incident. Astfel de măsuri limitează cine poate accesa acele gazde și ce pot face acele gazde pe alte sisteme.
În plus, orice tehnică defensivă care crește costul operațiunilor pentru atacatorii cibernetici poate ajuta la prevenirea atacurilor, a declarat Microsoft. Companiile ar trebui să utilizeze autentificarea multifactorială (MFA) în toate conturile din cadrul organizației și să se asigure că monitorizează fluxurile de date de autentificare pentru a avea vizibilitate asupra potențialelor evenimente suspecte.
- Distribuție de conținut bazat pe SEO și PR. Amplifică-te astăzi.
- Platoblockchain. Web3 Metaverse Intelligence. Cunoștințe amplificate. Accesați Aici.
- Sursa: https://www.darkreading.com/vulnerabilities-threats/magicweb-mystery-highlights-nobelium-attacker-sophistication
- 7
- a
- capacitate
- acces
- Conform
- Conturi
- peste
- activ
- actori
- Ad
- plus
- administrativ
- avansat
- consultativ
- TOATE
- și
- APT
- armat
- Asia
- Asamblare
- Bunuri
- ataca
- Atacuri
- August
- Autentificare
- ușă din dos
- Rău
- CEL MAI BUN
- încălcarea
- Breaking
- construit
- Cache
- denumit
- Campanii
- capturarea
- central
- Asia Centrala
- Certificatele
- certificări
- lanţuri
- Modificări
- Şah
- Cloud
- cod
- Companii
- companie
- A costat
- ar putea
- client
- Cyber
- Atac cibernetic
- DART
- de date
- adânc
- Apărare
- defensivă
- descris
- Detectare
- domeniu
- jos
- dinamic
- efort
- Europa
- evenimente
- Fiecare
- executând
- First
- debit
- fluxurilor
- concentrat
- din
- FS
- câștigă
- joc
- Caritate
- Guvern
- grup
- Grupului
- hacking
- ajutor
- highlights-uri
- extrem de
- Gazdele
- HTTPS
- Identitate
- gestionarea identității
- Punere în aplicare a
- impresionant
- in
- incident
- răspuns la incident
- crescând
- tot mai mult
- Infrastructură
- instalat
- anchetatorii
- Nivel
- Bibliotecă
- LIMITĂ
- LINK
- maşină
- face
- malware
- administrare
- Master-class
- măsuri
- AMF
- Microsoft
- Modern
- Monetar
- monitor
- cele mai multe
- muta
- autentificare multifactor
- multiplu
- Mister
- Nevoie
- net
- reţea
- ONG-urile
- normală.
- promoții
- Operațiuni
- organizație
- de organizare
- organizații
- Altele
- împerecheat
- Paralel
- bucată
- pionier
- platformă
- Plato
- Informații despre date Platon
- PlatoData
- Joaca
- joc
- potenţial
- împiedica
- precedent
- privilegiat
- privilegii
- Proceduri
- proces
- De protecţie
- furnizori
- ridica
- rămășițe
- necesita
- răspuns
- Said
- acelaşi
- serie
- Servere
- Servicii
- să
- Emisiuni
- singur
- So
- sofisticat
- special
- patrona
- stabilit
- astfel de
- livra
- Lanțurile de aprovizionare
- a sustine
- suspicios
- sistem
- sisteme
- tactică
- Rezervoare
- vizate
- direcționare
- echipă
- Tehnic
- tehnici de
- Tehnologia
- lor
- terț
- amenințare
- actori amenințători
- Prin
- de-a lungul
- Nivelul
- la
- Unelte
- atingeţi
- trata
- descoperi
- unic
- nelimitat
- ANONIM
- us
- utilizare
- utilizatorii
- vizibilitate
- Ce
- care
- OMS
- zephyrnet
