MagicWeb Mystery poudarja prefinjenost napadalca na Nobelium

Microsoft je izsledil prefinjen obvod avtentikacije za zvezne storitve Active Directory (AD FS), ki ga je uvedla z Rusijo povezana skupina Nobelium. 

Zlonamerna programska oprema, ki je omogočala obvod avtentikacije – ki jo je Microsoft poimenoval MagicWeb – je Nobeliumu omogočila vsaditev stranskih vrat v strežnik AD FS neimenovane stranke, nato pa uporabila posebej oblikovana potrdila, da bi obšla običajni postopek avtentikacije. Microsoftovi odzivniki na incidente so zbrali podatke o poteku preverjanja pristnosti, zajeli potrdila za preverjanje pristnosti, ki jih je uporabil napadalec, in nato izdelali povratno inženirsko kodo backdoor.

Osem preiskovalcev ni bilo osredotočenih "toliko [na] whodunit kot na how-done-it," Microsoftova skupina za odkrivanje in odziv (DART) navedeno v publikaciji Incident Response Cyberattack Series.

"Napadalci iz nacionalnih držav, kot je Nobelium, imajo na videz neomejeno denarno in tehnično podporo svojega sponzorja, pa tudi dostop do edinstvenih, sodobnih taktik, tehnik in postopkov vdiranja (TTP)," je navedlo podjetje. "Za razliko od večine slabih igralcev Nobelium spremeni svojo obrt na skoraj vsakem stroju, ki se ga dotakne."

Napad poudarja vse večjo sofisticiranost skupin APT, ki vse bolj ciljajo na tehnološke dobavne verige, kot je SolarWinds kršitev in sistemi identitete. 

"Mojstrski tečaj" kiber šaha

MagicWeb je uporabil visoko privilegirane certifikate za stransko premikanje po omrežju s pridobitvijo skrbniškega dostopa do sistema AD FS. AD FS je platforma za upravljanje identitete, ki ponuja način izvajanja enotne prijave (SSO) v lokalnih sistemih in sistemih v oblaku tretjih oseb. Skupina Nobelium je združila zlonamerno programsko opremo z zakulisno dinamično povezovalno knjižnico (DLL), nameščeno v Global Assembly Cache, nejasnem delu infrastrukture .NET, je dejal Microsoft.

MagicWeb, ki Microsoft je prvič opisal avgusta 2022, je bil zgrajen na podlagi prejšnjih orodij po izkoriščanju, kot je FoggyWeb, ki bi lahko ukradla potrdila iz strežnikov AD FS. Oboroženi s temi bi se napadalci lahko prebili globoko v organizacijsko infrastrukturo, na poti izločili podatke, vdrli v račune in se lažno predstavljali za uporabnike.

Stopnja truda, ki je potrebna za odkrivanje sofisticiranih orodij in tehnik za napad, kaže, da zgornji sloji napadalcev zahtevajo, da se podjetja najbolje branijo, pravi Microsoft.

"Večina napadalcev igra impresivno igro dame, vendar vse pogosteje opažamo napredne vztrajne igralce groženj, ki igrajo igro šaha na ravni mojstrskega tečaja," je navedlo podjetje. "Pravzaprav je Nobelium zelo aktiven, saj vzporedno izvaja več kampanj, ki ciljajo na vladne organizacije, nevladne organizacije (NVO), medvladne organizacije (IGO) in možganske truste po ZDA, Evropi in Srednji Aziji."

Omejite privilegije za sisteme identitete

Podjetja morajo sisteme AD FS in vse ponudnike identitete (IdP) obravnavati kot privilegirana sredstva v isti zaščitni ravni (Stopnja 0) kot krmilnike domene, je Microsoft navedel v svojem svetovalnem odzivu na incidente. Takšni ukrepi omejujejo, kdo lahko dostopa do teh gostiteljev in kaj lahko ti gostitelji počnejo v drugih sistemih. 

Poleg tega lahko vse obrambne tehnike, ki zvišujejo stroške delovanja za kibernetske napadalce, pomagajo preprečiti napade, je izjavil Microsoft. Podjetja bi morala uporabljati večfaktorsko avtentikacijo (MFA) v vseh računih v celotni organizaciji in se prepričati, da spremljajo tokove podatkov za avtentikacijo, da bi imela vpogled v morebitne sumljive dogodke.

• Distribucija vsebine in PR s pomočjo SEO. Okrepite se še danes.
• Platoblockchain. Web3 Metaverse Intelligence. Razširjeno znanje. Dostopite tukaj.
• vir: https://www.darkreading.com/vulnerabilities-threats/magicweb-mystery-highlights-nobelium-attacker-sophistication