MagicWeb Mystery подчеркивает изощренность Nobelium Attacker

Microsoft отследила изощренный обход аутентификации для федеративных служб Active Directory (AD FS), впервые созданный связанной с Россией группой Nobelium. 

Вредоносная программа, позволившая обойти аутентификацию, которую Microsoft назвала MagicWeb, дала Nobelium возможность внедрить бэкдор на сервер AD FS неназванного клиента, а затем использовать специально созданные сертификаты для обхода обычного процесса аутентификации. Реагирующие на инциденты Microsoft собрали данные о потоке аутентификации, перехватив сертификаты аутентификации, используемые злоумышленником, а затем реконструировали код бэкдора.

Восемь следователей были сосредоточены не столько [на] детективе, сколько на том, как это было сделано», — заявила группа обнаружения и реагирования Microsoft (DART). говорится в публикации Incident Response Cyberattack Series..

«Атакующие из национального государства, такие как Nobelium, имеют, по-видимому, неограниченную денежную и техническую поддержку от своего спонсора, а также доступ к уникальным современным хакерским тактикам, методам и процедурам (TTP)», — заявила компания. «В отличие от большинства плохих актеров, Нобелиум меняет свое мастерство почти на каждой машине, к которой прикасается».

Атака подчеркивает растущую изощренность APT-групп, которые все чаще нацеливаются на цепочки поставок технологий, такие как SolarWinds нарушение, и системы идентификации. 

«Мастер-класс» по кибершахматам

MagicWeb использовал сертификаты с высоким уровнем привилегий для горизонтального перемещения по сети, получая административный доступ к системе AD FS. AD FS — это платформа управления идентификацией, которая предлагает способ реализации единого входа (SSO) в локальных и сторонних облачных системах. По словам Microsoft, группа Nobelium соединила вредоносное ПО с бэкдорной библиотекой динамической компоновки (DLL), установленной в Global Assembly Cache, малоизвестном элементе инфраструктуры .NET.

MagicWeb, который Microsoft впервые описана в августе 2022 г., был создан на основе предыдущих средств постэксплуатации, таких как FoggyWeb, которые могли красть сертификаты с серверов AD FS. Вооружившись ими, злоумышленники могут проникнуть глубоко в организационную инфраструктуру, попутно извлекая данные, взламывая учетные записи и выдавая себя за пользователей.

Уровень усилий, необходимых для раскрытия изощренных инструментов и методов атаки, показывает, что высшие эшелоны злоумышленников требуют от компаний максимальной защиты, считают в Microsoft.

«Большинство злоумышленников впечатляюще играют в шашки, но мы все чаще видим, что продвинутые действующие лица, представляющие постоянные угрозы, играют в шахматы на уровне мастер-класса», — заявила компания. «На самом деле Nobelium остается очень активным, параллельно проводя несколько кампаний, нацеленных на правительственные организации, неправительственные организации (НПО), межправительственные организации (МПО) и аналитические центры в США, Европе и Центральной Азии».

Ограничение привилегий для систем идентификации

Компании должны относиться к системам AD FS и всем поставщикам удостоверений (IdP) как к привилегированным активам на том же уровне защиты (уровень 0), что и контроллеры домена, говорится в бюллетене Microsoft по реагированию на инциденты. Такие меры ограничивают, кто может получить доступ к этим хостам и что эти хосты могут делать в других системах. 

Кроме того, любые защитные методы, повышающие стоимость операций для кибератак, могут помочь предотвратить атаки, заявила Microsoft. Компании должны использовать многофакторную аутентификацию (MFA) для всех учетных записей в организации и следить за потоками данных аутентификации, чтобы отслеживать потенциальные подозрительные события.

• SEO-контент и PR-распределение. Получите усиление сегодня.
• Платоблокчейн. Интеллект метавселенной Web3. Расширение знаний. Доступ здесь.
• Источник: https://www.darkreading.com/vulnerabilities-threats/magicweb-mystery-highlights-nobelium-attacker-sophistication