Microsoft ได้ติดตามการบายพาสการรับรองความถูกต้องที่ซับซ้อนสำหรับ Active Directory Federated Services (AD FS) ซึ่งบุกเบิกโดยกลุ่ม Nobelium ที่เชื่อมโยงกับรัสเซีย
มัลแวร์ที่อนุญาตบายพาสการตรวจสอบสิทธิ์ ซึ่ง Microsoft เรียกว่า MagicWeb ทำให้ Nobelium สามารถฝังแบ็คดอร์บนเซิร์ฟเวอร์ AD FS ของลูกค้าที่ไม่มีชื่อ จากนั้นจึงใช้ใบรับรองที่สร้างขึ้นมาเป็นพิเศษเพื่อข้ามขั้นตอนการตรวจสอบสิทธิ์ตามปกติ ผู้ตอบโต้เหตุการณ์ของ Microsoft รวบรวมข้อมูลเกี่ยวกับโฟลว์การตรวจสอบความถูกต้อง บันทึกใบรับรองการตรวจสอบสิทธิ์ที่ใช้โดยผู้โจมตี จากนั้นทำวิศวกรรมย้อนกลับรหัสลับๆ
ผู้ตรวจสอบทั้ง XNUMX คนไม่ได้มุ่งความสนใจไปที่ "การสืบสวนสอบสวน" มากนักในฐานะวิธีการดำเนินการ "Detection and Response Team (DART) ของ Microsoft ระบุไว้ในสิ่งพิมพ์ Cyberattack Series ของ Incident Response.
“ผู้โจมตีระดับประเทศอย่างโนบีเลียมดูเหมือนจะได้รับการสนับสนุนทางการเงินและทางเทคนิคอย่างไม่จำกัดจากผู้สนับสนุนของพวกเขา เช่นเดียวกับการเข้าถึงกลยุทธ์ เทคนิค และขั้นตอนการแฮ็ก (TTPs) ที่ไม่เหมือนใครและทันสมัย” บริษัทระบุ “ไม่เหมือนกับนักแสดงที่แย่ส่วนใหญ่ โนบีเลียมเปลี่ยนรูปแบบการค้าของพวกเขาในเกือบทุกเครื่องที่พวกเขาสัมผัส”
การโจมตีเน้นย้ำถึงความซับซ้อนที่เพิ่มขึ้นของกลุ่ม APT ซึ่งมีเป้าหมายที่ห่วงโซ่อุปทานเทคโนโลยีมากขึ้น เช่น SolarWinds การละเมิดและ ระบบข้อมูลประจำตัว.
“มาสเตอร์คลาส” ใน Cyber Chess
MagicWeb ใช้การรับรองที่มีสิทธิพิเศษสูงในการย้ายด้านข้างผ่านเครือข่ายโดยได้รับสิทธิ์การเข้าถึงระดับผู้ดูแลระบบไปยังระบบ AD FS AD FS เป็นแพลตฟอร์มการจัดการข้อมูลประจำตัวที่นำเสนอวิธีการใช้การลงชื่อเพียงครั้งเดียว (SSO) ทั่วทั้งระบบคลาวด์ภายในองค์กรและระบบคลาวด์ของบริษัทอื่น กลุ่ม Nobelium จับคู่มัลแวร์กับแบ็คดอร์ไดนามิกลิงก์ไลบรารี (DLL) ที่ติดตั้งใน Global Assembly Cache ซึ่งเป็นโครงสร้างพื้นฐาน .NET ที่คลุมเครือ Microsoft กล่าว
เมจิกเว็บซึ่ง Microsoft อธิบายครั้งแรกในเดือนสิงหาคม 2022สร้างขึ้นจากเครื่องมือหลังการแสวงประโยชน์ก่อนหน้านี้ เช่น FoggyWeb ซึ่งสามารถขโมยใบรับรองจากเซิร์ฟเวอร์ AD FS ด้วยอาวุธเหล่านี้ ผู้โจมตีสามารถเจาะเข้าไปในโครงสร้างพื้นฐานขององค์กร กรองข้อมูลระหว่างทาง เจาะบัญชีผู้ใช้ และแอบอ้างเป็นผู้ใช้
ระดับของความพยายามที่จำเป็นในการเปิดเผยเครื่องมือและเทคนิคการโจมตีที่ซับซ้อนแสดงให้เห็นว่าผู้โจมตีระดับสูงต้องการให้บริษัทต่างๆ ดำเนินการป้องกันอย่างดีที่สุด ตามข้อมูลของ Microsoft
“ผู้โจมตีส่วนใหญ่เล่นเกมหมากฮอสที่น่าประทับใจ แต่เราเห็นผู้คุกคามขั้นสูงเล่นเกมหมากรุกระดับมาสเตอร์คลาสมากขึ้นเรื่อยๆ” บริษัทระบุ “อันที่จริง โนบีเลียมยังคงมีความกระตือรือร้นสูง โดยดำเนินแคมเปญหลายชุดพร้อมกันโดยกำหนดเป้าหมายไปที่องค์กรของรัฐ องค์กรพัฒนาเอกชน (NGOs) องค์กรระหว่างรัฐบาล (IGO) และคลังสมองทั่วสหรัฐอเมริกา ยุโรป และเอเชียกลาง”
จำกัด สิทธิ์สำหรับระบบข้อมูลประจำตัว
บริษัทต่างๆ จำเป็นต้องปฏิบัติต่อระบบ AD FS และผู้ให้บริการข้อมูลประจำตัว (IdP) ทั้งหมดเป็นทรัพย์สินที่ได้รับสิทธิพิเศษในระดับการป้องกันเดียวกัน (ระดับ 0) เช่นเดียวกับตัวควบคุมโดเมน Microsoft ระบุไว้ในคำแนะนำในการตอบสนองต่อเหตุการณ์ มาตรการดังกล่าวจำกัดผู้ที่สามารถเข้าถึงโฮสต์เหล่านั้นและสิ่งที่โฮสต์เหล่านั้นสามารถทำได้บนระบบอื่น
นอกจากนี้ เทคนิคการป้องกันใด ๆ ที่เพิ่มค่าใช้จ่ายในการดำเนินการสำหรับผู้โจมตีทางไซเบอร์สามารถช่วยป้องกันการโจมตีได้ Microsoft กล่าว บริษัทต่างๆ ควรใช้การยืนยันตัวตนแบบหลายปัจจัย (MFA) ในทุกบัญชีทั่วทั้งองค์กร และตรวจสอบให้แน่ใจว่าพวกเขาตรวจสอบกระแสข้อมูลการตรวจสอบสิทธิ์เพื่อให้มองเห็นเหตุการณ์ที่น่าสงสัยที่อาจเกิดขึ้นได้
- เนื้อหาที่ขับเคลื่อนด้วย SEO และการเผยแพร่ประชาสัมพันธ์ รับการขยายวันนี้
- เพลโตบล็อคเชน Web3 Metaverse ข่าวกรอง ขยายความรู้. เข้าถึงได้ที่นี่.
- ที่มา: https://www.darkreading.com/vulnerabilities-threats/magicweb-mystery-highlights-nobelium-attacker-sophistication
- 7
- a
- ความสามารถ
- เข้า
- ตาม
- บัญชี
- ข้าม
- คล่องแคล่ว
- นักแสดง
- Ad
- นอกจากนี้
- การบริหาร
- สูง
- ที่ปรึกษา
- ทั้งหมด
- และ
- APT
- ติดอาวุธ
- เอเชีย
- การชุมนุม
- สินทรัพย์
- โจมตี
- การโจมตี
- สิงหาคม
- การยืนยันตัวตน
- ประตูหลัง
- ไม่ดี
- ที่ดีที่สุด
- ช่องโหว่
- หมดสภาพ
- สร้าง
- แคช
- ที่เรียกว่า
- แคมเปญ
- จับ
- ส่วนกลาง
- เอเชียกลาง
- ใบรับรอง
- การรับรอง
- ห่วงโซ่
- การเปลี่ยนแปลง
- หมากรุก
- เมฆ
- รหัส
- บริษัท
- บริษัท
- ราคา
- ได้
- ลูกค้า
- ไซเบอร์
- cyberattack
- DART
- ข้อมูล
- ลึก
- ป้องกัน
- การป้องกัน
- อธิบาย
- การตรวจพบ
- โดเมน
- ลง
- พลวัต
- ความพยายาม
- ยุโรป
- เหตุการณ์
- ทุกๆ
- การดำเนินงาน
- ชื่อจริง
- ไหล
- กระแส
- มุ่งเน้น
- ราคาเริ่มต้นที่
- FS
- ดึงดูด
- เกม
- เหตุการณ์ที่
- รัฐบาล
- บัญชีกลุ่ม
- กลุ่ม
- แฮ็ค
- ช่วย
- ไฮไลท์
- อย่างสูง
- เจ้าภาพ
- HTTPS
- เอกลักษณ์
- การจัดการข้อมูลประจำตัว
- การดำเนินการ
- ประทับใจ
- in
- อุบัติการณ์
- การตอบสนองต่อเหตุการณ์
- ที่เพิ่มขึ้น
- ขึ้น
- โครงสร้างพื้นฐาน
- การติดตั้ง
- นักวิจัย
- ชั้น
- ห้องสมุด
- LIMIT
- LINK
- เครื่อง
- ทำ
- มัลแวร์
- การจัดการ
- Masterclass
- มาตรการ
- ไอ้เวรตะไล
- ไมโครซอฟท์
- ทันสมัย
- เป็นเงิน
- การตรวจสอบ
- มากที่สุด
- ย้าย
- การพิสูจน์ตัวตนแบบหลายปัจจัย
- หลาย
- ความลึกลับ
- จำเป็นต้อง
- สุทธิ
- เครือข่าย
- เอ็นจีโอ
- ปกติ
- เสนอ
- การดำเนินการ
- organizacja
- องค์กร
- องค์กร
- อื่นๆ
- จับคู่
- Parallel
- ชิ้น
- เป็นหัวหอก
- เวที
- เพลโต
- เพลโตดาต้าอินเทลลิเจนซ์
- เพลโตดาต้า
- เล่น
- เล่น
- ที่มีศักยภาพ
- ป้องกัน
- ก่อน
- ได้รับการยกเว้น
- สิทธิ์
- ขั้นตอน
- กระบวนการ
- ป้องกัน
- ผู้ให้บริการ
- ยก
- ซากศพ
- ต้องการ
- คำตอบ
- กล่าวว่า
- เดียวกัน
- ชุด
- เซิร์ฟเวอร์
- บริการ
- น่า
- แสดงให้เห็นว่า
- เดียว
- So
- ซับซ้อน
- พิเศษ
- สปอนเซอร์
- ระบุ
- อย่างเช่น
- จัดหาอุปกรณ์
- ซัพพลายเชน
- สนับสนุน
- พิรุธ
- ระบบ
- ระบบ
- กลยุทธ์
- ถัง
- เป้าหมาย
- กำหนดเป้าหมาย
- ทีม
- วิชาการ
- เทคนิค
- เทคโนโลยี
- พื้นที่
- ของพวกเขา
- ของบุคคลที่สาม
- การคุกคาม
- ตัวแสดงภัยคุกคาม
- ตลอด
- ตลอด
- ชั้น
- ไปยัง
- เครื่องมือ
- แตะ
- รักษา
- เปิดเผย
- เป็นเอกลักษณ์
- ไม่ จำกัด
- ไม่มีชื่อ
- us
- ใช้
- ผู้ใช้
- ความชัดเจน
- อะไร
- ที่
- WHO
- ลมทะเล