Microsoft отследила изощренный обход аутентификации для федеративных служб Active Directory (AD FS), впервые созданный связанной с Россией группой Nobelium.
Вредоносная программа, позволившая обойти аутентификацию, которую Microsoft назвала MagicWeb, дала Nobelium возможность внедрить бэкдор на сервер AD FS неназванного клиента, а затем использовать специально созданные сертификаты для обхода обычного процесса аутентификации. Реагирующие на инциденты Microsoft собрали данные о потоке аутентификации, перехватив сертификаты аутентификации, используемые злоумышленником, а затем реконструировали код бэкдора.
Восемь следователей были сосредоточены не столько [на] детективе, сколько на том, как это было сделано», — заявила группа обнаружения и реагирования Microsoft (DART). говорится в публикации Incident Response Cyberattack Series..
«Атакующие из национального государства, такие как Nobelium, имеют, по-видимому, неограниченную денежную и техническую поддержку от своего спонсора, а также доступ к уникальным современным хакерским тактикам, методам и процедурам (TTP)», — заявила компания. «В отличие от большинства плохих актеров, Нобелиум меняет свое мастерство почти на каждой машине, к которой прикасается».
Атака подчеркивает растущую изощренность APT-групп, которые все чаще нацеливаются на цепочки поставок технологий, такие как SolarWinds нарушение, и системы идентификации.
«Мастер-класс» по кибершахматам
MagicWeb использовал сертификаты с высоким уровнем привилегий для горизонтального перемещения по сети, получая административный доступ к системе AD FS. AD FS — это платформа управления идентификацией, которая предлагает способ реализации единого входа (SSO) в локальных и сторонних облачных системах. По словам Microsoft, группа Nobelium соединила вредоносное ПО с бэкдорной библиотекой динамической компоновки (DLL), установленной в Global Assembly Cache, малоизвестном элементе инфраструктуры .NET.
MagicWeb, который Microsoft впервые описана в августе 2022 г., был создан на основе предыдущих средств постэксплуатации, таких как FoggyWeb, которые могли красть сертификаты с серверов AD FS. Вооружившись ими, злоумышленники могут проникнуть глубоко в организационную инфраструктуру, попутно извлекая данные, взламывая учетные записи и выдавая себя за пользователей.
Уровень усилий, необходимых для раскрытия изощренных инструментов и методов атаки, показывает, что высшие эшелоны злоумышленников требуют от компаний максимальной защиты, считают в Microsoft.
«Большинство злоумышленников впечатляюще играют в шашки, но мы все чаще видим, что продвинутые действующие лица, представляющие постоянные угрозы, играют в шахматы на уровне мастер-класса», — заявила компания. «На самом деле Nobelium остается очень активным, параллельно проводя несколько кампаний, нацеленных на правительственные организации, неправительственные организации (НПО), межправительственные организации (МПО) и аналитические центры в США, Европе и Центральной Азии».
Ограничение привилегий для систем идентификации
Компании должны относиться к системам AD FS и всем поставщикам удостоверений (IdP) как к привилегированным активам на том же уровне защиты (уровень 0), что и контроллеры домена, говорится в бюллетене Microsoft по реагированию на инциденты. Такие меры ограничивают, кто может получить доступ к этим хостам и что эти хосты могут делать в других системах.
Кроме того, любые защитные методы, повышающие стоимость операций для кибератак, могут помочь предотвратить атаки, заявила Microsoft. Компании должны использовать многофакторную аутентификацию (MFA) для всех учетных записей в организации и следить за потоками данных аутентификации, чтобы отслеживать потенциальные подозрительные события.
- SEO-контент и PR-распределение. Получите усиление сегодня.
- Платоблокчейн. Интеллект метавселенной Web3. Расширение знаний. Доступ здесь.
- Источник: https://www.darkreading.com/vulnerabilities-threats/magicweb-mystery-highlights-nobelium-attacker-sophistication
- 7
- a
- способность
- доступ
- По
- Учетные записи
- через
- активный
- актеры
- Ad
- дополнение
- административный
- продвинутый
- консультативный
- Все
- и
- APT
- вооруженный
- Азия
- сборка
- Активы
- атаковать
- нападки
- Август
- Аутентификация
- задняя дверь
- Плохой
- ЛУЧШЕЕ
- нарушение
- Разрыв
- построенный
- Кэш
- под названием
- Кампании
- Захват
- центральный
- Центральная Азия
- сертификаты
- сертификаты
- цепи
- изменения
- шахматы
- облако
- код
- Компании
- Компания
- Цена
- может
- клиент
- кибер-
- Кибератака
- DART
- данным
- глубоко
- Защита
- оборонительный
- описано
- обнаружение
- домен
- вниз
- динамический
- усилие
- Европе
- События
- Каждая
- проведение
- Во-первых,
- поток
- Потоки
- внимание
- от
- FS
- получение
- игра
- Глобальный
- Правительство
- группы
- Группы
- взлом
- помощь
- основной момент
- очень
- хостов
- HTTPS
- Личность
- управление идентификацией
- Осуществляющий
- впечатляющий
- in
- инцидент
- реакция на инцидент
- повышение
- все больше и больше
- Инфраструктура
- установлен
- Следователи
- уровень
- Библиотека
- ОГРАНИЧЕНИЯ
- LINK
- машина
- сделать
- вредоносных программ
- управление
- Basic course "Professional Brow Artist"
- меры
- МИД
- Microsoft
- Модерн
- монетарный
- монитор
- самых
- двигаться
- многофакторная аутентификация
- с разными
- Тайна
- Необходимость
- сеть
- сеть
- НПО
- "обычные"
- Предложения
- Операционный отдел
- организация
- организационной
- организации
- Другое
- в паре
- Параллельные
- кусок
- впервые
- Платформа
- Платон
- Платон Интеллектуальные данные
- ПлатонДанные
- Играть
- игры
- потенциал
- предотвращать
- предыдущий
- привилегированный
- привилегии
- Процедуры
- процесс
- защитный
- поставщики
- повышение
- остатки
- требовать
- ответ
- Сказал
- то же
- Серии
- Серверы
- Услуги
- должен
- Шоу
- одинарной
- So
- сложный
- специально
- спонсор
- заявил
- такие
- поставка
- Каналы поставок
- поддержка
- подозрительный
- система
- системы
- тактика
- танки
- целевое
- направлены
- команда
- Технический
- снижения вреда
- Технологии
- Ассоциация
- их
- сторонние
- угроза
- актеры угрозы
- Через
- по всему
- ярус
- в
- инструменты
- трогать
- лечить
- открывай
- созданного
- Неограниченный
- UNNAMED
- us
- использование
- пользователей
- видимость
- Что
- который
- КТО
- зефирнет