Microsoft, öncülüğünü Rusya bağlantılı Nobelium grubunun yaptığı Active Directory Federated Services (AD FS) için gelişmiş bir kimlik doğrulama baypasının izini sürdü.
Microsoft'un MagicWeb olarak adlandırdığı, kimlik doğrulamasını atlatmaya izin veren kötü amaçlı yazılım, Nobelium'a adsız müşterinin AD FS sunucusuna bir arka kapı yerleştirme ve ardından normal kimlik doğrulama sürecini atlamak için özel hazırlanmış sertifikalar kullanma yeteneği verdi. Microsoft olay müdahale ekipleri, saldırgan tarafından kullanılan kimlik doğrulama sertifikalarını yakalayarak kimlik doğrulama akışıyla ilgili verileri topladı ve ardından arka kapı kodunu tersine mühendislikle işledi.
Microsoft'un Tespit ve Müdahale Ekibi (DART) sekiz müfettiş "bir kimliğe [on] kadar nasıl yapıldığına" odaklanmıyordu. Incident Response Cyberattack Series yayınında belirtilmiştir.
Şirket, "Nobelium gibi ulus-devlet saldırganları, sponsorlarından görünüşte sınırsız parasal ve teknik desteğin yanı sıra benzersiz, modern bilgisayar korsanlığı taktiklerine, tekniklerine ve prosedürlerine (TTP'ler) erişime sahipler" dedi. "Çoğu kötü oyuncunun aksine, Nobelium dokundukları hemen hemen her makinede mesleklerini değiştiriyor."
Saldırı, teknoloji tedarik zincirlerini giderek daha fazla hedef alan APT gruplarının artan karmaşıklığının altını çiziyor. SolarWinds gibi ihlali ve kimlik sistemleri.
Siber Satrançta Bir “Ustalık Sınıfı”
MagicWeb, bir AD FS sistemine yönetici erişimi sağlayarak ağda yanal olarak hareket etmek için yüksek düzeyde ayrıcalıklı sertifikalar kullandı. AD FS, şirket içi ve üçüncü taraf bulut sistemlerinde çoklu oturum açma (SSO) uygulama yöntemi sunan bir kimlik yönetimi platformudur. Microsoft, Nobelium grubunun kötü amaçlı yazılımı, belirsiz bir .NET altyapısı parçası olan Global Assembly Cache'de kurulu bir arka kapı dinamik bağlantı kitaplığı (DLL) ile eşleştirdiğini söyledi.
MagicWeb, hangi Microsoft ilk olarak Ağustos 2022'de tanımlandı, AD FS sunucularından sertifika çalabilen FoggyWeb gibi önceki kullanım sonrası araçları üzerine kurulmuştur. Bunlarla donanmış olan saldırganlar, kurumsal altyapının derinliklerine girerek yol boyunca verileri sızdırabilir, hesaplara girebilir ve kullanıcıların kimliğine bürünebilir.
Microsoft'a göre, karmaşık saldırı araçlarını ve tekniklerini ortaya çıkarmak için gereken çaba düzeyi, saldırganların üst kademelerinin şirketlerin en iyi savunmalarını yapmalarını gerektirdiğini gösteriyor.
Şirket, "Saldırganların çoğu etkileyici bir dama oyunu oynuyor, ancak giderek artan bir şekilde, ustalık sınıfı düzeyinde bir satranç oyunu oynayan gelişmiş ısrarcı tehdit aktörlerini görüyoruz" dedi. "Aslında Nobelium, ABD, Avrupa ve Orta Asya'daki devlet kurumlarını, sivil toplum kuruluşlarını (STK'lar), hükümetler arası kuruluşları (IGO'lar) ve düşünce kuruluşlarını hedef alan paralel olarak çok sayıda kampanya yürüterek oldukça aktif olmaya devam ediyor."
Kimlik Sistemleri İçin Sınırlı Ayrıcalıklar
Microsoft, olay yanıt danışmanlığında, şirketlerin AD FS sistemlerini ve tüm kimlik sağlayıcılarını (IdP'ler) etki alanı denetleyicileri olarak aynı koruyucu katmanda (Katman 0) ayrıcalıklı varlıklar olarak ele alması gerektiğini belirtti. Bu tür önlemler, bu ana bilgisayarlara kimlerin erişebileceğini ve bu ana bilgisayarların diğer sistemlerde neler yapabileceğini sınırlar.
Ayrıca Microsoft, siber saldırganlar için operasyon maliyetini artıran herhangi bir savunma tekniğinin saldırıları önlemeye yardımcı olabileceğini belirtti. Şirketler, kuruluş genelindeki tüm hesaplarda çok faktörlü kimlik doğrulamayı (MFA) kullanmalı ve olası şüpheli olayları görebilmek için kimlik doğrulama veri akışlarını izlediklerinden emin olmalıdır.
- SEO Destekli İçerik ve Halkla İlişkiler Dağıtımı. Bugün Gücünüzü Artırın.
- Plato blok zinciri. Web3 Metaverse Zekası. Bilgi Güçlendirildi. Buradan Erişin.
- Kaynak: https://www.darkreading.com/vulnerabilities-threats/magicweb-mystery-highlights-nobelium-attacker-sophistication
- 7
- a
- kabiliyet
- erişim
- Göre
- Hesaplar
- karşısında
- aktif
- aktörler
- Ad
- ilave
- idari
- ileri
- danışma
- Türkiye
- ve
- APT
- silahlı
- Asya
- Montaj
- Varlıklar
- saldırı
- saldırılar
- Ağustos
- Doğrulama
- arka kapı
- Kötü
- İYİ
- ihlal
- Kırma
- yapılı
- Önbellek
- denilen
- Kampanyalar
- Yakalama
- merkezi
- Orta Asya
- sertifikalar
- sertifikalar
- zincirler
- değişiklikler
- satranç
- bulut
- kod
- Şirketler
- şirket
- Ücret
- olabilir
- müşteri
- Siber
- Siber saldırı
- DART
- veri
- derin
- Savunma
- savunma
- tarif edilen
- Bulma
- domain
- aşağı
- dinamik
- çaba
- AVRUPA
- olaylar
- Her
- yürütme
- Ad
- akış
- Akışları
- odaklanmış
- itibaren
- FS
- kazanma
- oyun
- Küresel
- Hükümet
- grup
- Grubun
- hack
- yardım et
- özeti
- büyük ölçüde
- ana
- HTTPS
- Kimlik
- kimlik yönetimi
- uygulanması
- etkileyici
- in
- olay
- olay yanıtı
- artan
- giderek
- Altyapı
- yüklü
- Müfettişler
- seviye
- Kütüphane
- LİMİT
- LINK
- makine
- yapmak
- kötü amaçlı yazılım
- yönetim
- Usta sınıfı
- önlemler
- MFA
- Microsoft
- Modern
- parasal
- izlemek
- çoğu
- hareket
- çok faktörlü kimlik doğrulama
- çoklu
- Gizem
- gerek
- net
- ağ
- STK'lar
- normal
- Teklifler
- Operasyon
- kuruluşlar
- örgütsel
- organizasyonlar
- Diğer
- eşleştirilmiş
- Paralel
- parça
- öncülük
- platform
- Platon
- Plato Veri Zekası
- PlatoVeri
- OYNA
- oynama
- potansiyel
- önlemek
- önceki
- ayrıcalıklı
- ayrıcalıklar
- prosedürler
- süreç
- Koruyucu
- sağlayıcılar
- yükseltmek
- kalıntılar
- gerektirir
- yanıt
- Adı geçen
- aynı
- Dizi
- Sunucular
- Hizmetler
- meli
- Gösteriler
- tek
- So
- sofistike
- özel olarak
- sponsor
- belirtilen
- böyle
- arz
- Tedarik zinciri
- destek
- şüpheli
- sistem
- Sistemler
- taktik
- tanklar
- Hedeflenen
- hedefleme
- takım
- Teknik
- teknikleri
- Teknoloji
- The
- ve bazı Asya
- üçüncü şahıslara ait
- tehdit
- tehdit aktörleri
- İçinden
- boyunca
- aşama
- için
- araçlar
- dokunma
- tedavi etmek
- ortaya çıkarmak
- benzersiz
- sınırsız
- İSİMSİZ
- us
- kullanım
- kullanıcılar
- görünürlük
- Ne
- hangi
- DSÖ
- zefirnet