Microsoft har spårat en sofistikerad autentiseringsbypass för Active Directory Federated Services (AD FS), pionjärer av den Ryssland-länkade Nobelium-gruppen.
Skadlig programvara som möjliggjorde förbikoppling av autentiseringen – som Microsoft kallade MagicWeb – gav Nobelium möjligheten att implantera en bakdörr på den icke namngivna kundens AD FS-server och sedan använda specialgjorda certifikat för att kringgå den normala autentiseringsprocessen. Microsofts incidentsvarare samlade in data om autentiseringsflödet, samlade in de autentiseringscertifikat som angriparen använde och omvända sedan bakdörrskoden.
De åtta utredarna var inte fokuserade "så mycket [på] en whodunit som ett hur-gjort-det", Microsofts Detection and Response Team (DART) anges i dess Incident Response Cyberattack Series-publikation.
"Nationsstatsangripare som Nobelium har till synes obegränsat monetärt och tekniskt stöd från sin sponsor, samt tillgång till unika, moderna hackningstaktiker, -tekniker och -procedurer (TTP)", sa företaget. "Till skillnad från de flesta dåliga skådespelare ändrar Nobelium sitt hantverk på nästan varje maskin de rör vid."
Attacken understryker den ökande sofistikeringen av APT-grupper, som i allt högre grad har riktat in sig på teknikförsörjningskedjor, som SolarWinds brott, och identitetssystem.
En "mästarklass" i cyberschack
MagicWeb använde mycket privilegierade certifieringar för att flytta i sidled genom nätverket genom att få administrativ åtkomst till ett AD FS-system. AD FS är en identitetshanteringsplattform som erbjuder ett sätt att implementera enkel inloggning (SSO) över lokala och tredjeparts molnsystem. Nobelium-gruppen parade ihop skadlig programvara med ett bakdörrs dynamiskt länkbibliotek (DLL) installerat i Global Assembly Cache, en obskyr del av .NET-infrastrukturen, sa Microsoft.
MagicWeb, som Microsoft beskrev först i augusti 2022, byggdes på tidigare verktyg efter exploatering, såsom FoggyWeb, som kunde stjäla certifikat från AD FS-servrar. Beväpnade med dessa kunde angriparna ta sig djupt in i organisatorisk infrastruktur, exfiltrera data längs vägen, bryta sig in på konton och utge sig för att vara användare.
Ansträngningsnivån som krävs för att avslöja de sofistikerade attackverktygen och -teknikerna visar att angriparnas övre skikt kräver att företag spelar sitt bästa försvar, enligt Microsoft.
"De flesta angripare spelar ett imponerande parti pjäs, men i allt högre grad ser vi avancerade ihållande hotskådespelare som spelar ett schackspel på mästarklassnivå", sa företaget. "Faktum är att Nobelium är fortfarande mycket aktivt och genomför flera kampanjer parallellt med inriktning på statliga organisationer, icke-statliga organisationer (NGOs), mellanstatliga organisationer (IGOs) och tankesmedjor över hela USA, Europa och Centralasien."
Begränsa privilegier för identitetssystem
Företag måste behandla AD FS-system och alla identitetsleverantörer (IdPs) som privilegierade tillgångar i samma skyddsnivå (Tier 0) som domänkontrollanter, uppgav Microsoft i sin incident response advisory. Sådana åtgärder begränsar vem som kan komma åt dessa värdar och vad dessa värdar kan göra på andra system.
Dessutom kan alla defensiva tekniker som höjer kostnaderna för operationer för cyberattackare hjälpa till att förhindra attacker, uppgav Microsoft. Företag bör använda multifaktorautentisering (MFA) på alla konton i hela organisationen och se till att de övervakar autentiseringsdataflödena för att ha insyn i potentiella misstänkta händelser.
- SEO-drivet innehåll och PR-distribution. Bli förstärkt idag.
- Platoblockchain. Web3 Metaverse Intelligence. Kunskap förstärkt. Tillgång här.
- Källa: https://www.darkreading.com/vulnerabilities-threats/magicweb-mystery-highlights-nobelium-attacker-sophistication
- 7
- a
- förmåga
- tillgång
- Enligt
- konton
- tvärs
- aktiv
- aktörer
- Ad
- Dessutom
- administrativa
- avancerat
- rådgivande
- Alla
- och
- APT
- beväpnad
- asien
- Montage
- Tillgångar
- attackera
- Attacker
- AUGUSTI
- Autentisering
- bakdörr
- Badrum
- BÄST
- brott
- Breaking
- byggt
- Cache
- kallas
- Kampanjer
- Fångande
- centrala
- Centralasien
- certifikat
- certifieringar
- kedjor
- Förändringar
- schack
- cloud
- koda
- Företag
- företag
- Pris
- kunde
- kund
- cyber
- Cyber attack
- PIL
- datum
- djup
- Försvar
- defensiv
- beskriven
- Detektering
- domän
- ner
- dynamisk
- ansträngning
- Europa
- händelser
- Varje
- exekvera
- Förnamn
- flöda
- flöden
- fokuserade
- från
- FS
- få
- lek
- Välgörenhet
- Regeringen
- Grupp
- Gruppens
- hacking
- hjälpa
- höjdpunkter
- höggradigt
- värdar
- HTTPS
- Identitet
- identitetshantering
- genomföra
- imponerande
- in
- incident
- incidentrespons
- ökande
- alltmer
- Infrastruktur
- installerad
- utredarna
- Nivå
- Bibliotek
- BEGRÄNSA
- LINK
- Maskinen
- göra
- malware
- ledning
- Mästarklass
- åtgärder
- UD
- Microsoft
- Modern Konst
- Monetär
- Övervaka
- mest
- flytta
- multifaktor-autentisering
- multipel
- Mystery
- Behöver
- netto
- nät
- Frivilligorganisationer
- normala
- Erbjudanden
- Verksamhet
- organisation
- organisatoriska
- organisationer
- Övriga
- parade
- Parallell
- bit
- banat
- plattform
- plato
- Platon Data Intelligence
- PlatonData
- Spela
- i
- potentiell
- förhindra
- föregående
- privilegierat
- privilegier
- förfaranden
- process
- Skyddande
- leverantörer
- höja
- resterna
- kräver
- respons
- Nämnda
- Samma
- Serier
- Servrar
- Tjänster
- skall
- Visar
- enda
- So
- sofistikerade
- speciellt
- sponsra
- anges
- sådana
- leverera
- Försörjningskedjor
- stödja
- misstänksam
- system
- System
- taktik
- Tankar
- riktade
- targeting
- grupp
- Teknisk
- tekniker
- Teknologi
- Smakämnen
- deras
- tredje part
- hot
- hotaktörer
- Genom
- hela
- djur
- till
- verktyg
- Rör
- behandla
- avslöja
- unika
- obegränsat
- NAMNLÖS
- us
- användning
- användare
- synlighet
- Vad
- som
- VEM
- zephyrnet
