Корпорація Майкрософт відстежила складний обхід автентифікації для об’єднаних служб Active Directory (AD FS), вперше розроблений пов’язаною з Росією групою Nobelium.
Зловмисне програмне забезпечення, яке дозволяло обхід автентифікації — яке Microsoft назвало MagicWeb — дало Nobelium можливість імплантувати бекдор на сервер AD FS неназваного клієнта, а потім використовувати спеціально створені сертифікати для обходу звичайного процесу автентифікації. Служби реагування на інциденти Microsoft збирали дані про потік автентифікації, перехоплюючи сертифікати автентифікації, які використовував зловмисник, а потім реверсивно проектували код бекдору.
Команда виявлення та реагування Microsoft (DART) вісім дослідників зосереджувалися не «настільки на [whodunit], скільки на тому, як це зробити». йдеться у публікації Incident Response Cyberattack Series.
«Зловмисники національних держав, такі як Nobelium, мають, здавалося б, необмежену грошову та технічну підтримку від свого спонсора, а також доступ до унікальних сучасних тактик, методів і процедур злому (TTP)», — заявила компанія. «На відміну від більшості поганих акторів, Нобеліум змінює свою майстерність майже на кожній машині, до якої вони торкаються».
Атака підкреслює зростаючу витонченість груп APT, які все частіше націлюються на ланцюги поставок технологій, такі як SolarWinds порушення, і системи ідентифікації.
«Майстер-клас» з кібершахів
MagicWeb використовував високопривілейовані сертифікати для бокового переміщення через мережу, отримуючи адміністративний доступ до системи AD FS. AD FS — це платформа керування ідентифікацією, яка пропонує спосіб реалізації єдиного входу (SSO) у локальних і сторонніх хмарних системах. За словами Microsoft, група Nobelium поєднала зловмисне програмне забезпечення з бекдорною бібліотекою динамічних посилань (DLL), встановленою в глобальному кеш-пам’яті збірок, незрозумілій частині інфраструктури .NET.
MagicWeb, який Microsoft вперше описав у серпні 2022 року, було створено на основі попередніх інструментів після експлуатації, таких як FoggyWeb, які могли викрасти сертифікати з серверів AD FS. Озброївшись ними, зловмисники могли проникнути глибоко в організаційну інфраструктуру, попутно викрадаючи дані, зламуючи облікові записи та видаючи себе за користувачів.
Рівень зусиль, необхідних для виявлення складних інструментів і методів атак, показує, що верхня ланка зловмисників вимагає від компаній найкращого захисту.
«Більшість зловмисників грають у вражаючу гру в шашки, але все частіше ми бачимо досвідчених постійних загроз, які грають у шахи на рівні майстер-класу», — заявили в компанії. «Насправді Nobelium залишається дуже активним, паралельно проводячи кілька кампаній, націлених на урядові організації, неурядові організації (НУО), міжурядові організації (МГО) і аналітичні центри в США, Європі та Центральній Азії».
Обмеження привілеїв для систем ідентифікації
Компанії повинні розглядати системи AD FS і всіх постачальників ідентифікаційної інформації (IdP) як привілейовані активи на тому самому захисному рівні (рівень 0), що й контролери домену, заявила Microsoft у своїй пораді щодо реагування на інциденти. Такі заходи обмежують, хто може отримати доступ до цих хостів і що ці хости можуть робити в інших системах.
Крім того, будь-які захисні методи, які підвищують вартість операцій для кібератак, можуть допомогти запобігти атакам, заявили в Microsoft. Компанії повинні використовувати багатофакторну автентифікацію (MFA) для всіх облікових записів у всій організації та переконатися, що вони відстежують потоки даних автентифікації, щоб мати можливість бачити потенційні підозрілі події.
- Розповсюдження контенту та PR на основі SEO. Отримайте посилення сьогодні.
- Платоблокчейн. Web3 Metaverse Intelligence. Розширені знання. Доступ тут.
- джерело: https://www.darkreading.com/vulnerabilities-threats/magicweb-mystery-highlights-nobelium-attacker-sophistication
- 7
- a
- здатність
- доступ
- За
- Рахунки
- через
- активний
- актори
- Ad
- доповнення
- адміністративний
- просунутий
- консультативний
- ВСІ
- та
- APT
- озброєний
- Азія
- збірка
- Активи
- атака
- нападки
- Серпня
- Authentication
- закулісний
- поганий
- КРАЩЕ
- порушення
- Розрив
- побудований
- Кеш
- званий
- Кампанії
- захопивши
- центральний
- центральна Азія
- сертифікати
- сертифікати
- ланцюга
- Зміни
- Chess
- хмара
- код
- Компанії
- компанія
- Коштувати
- може
- клієнт
- кібер-
- Кібератака
- DART
- дані
- глибокий
- оборони
- оборонний
- описаний
- Виявлення
- домен
- вниз
- динамічний
- зусилля
- Європа
- Події
- Кожен
- виконання
- Перший
- потік
- Потоки
- увагу
- від
- FS
- набирає
- гра
- Глобальний
- Уряд
- Group
- Групи
- злом
- допомога
- основний момент
- дуже
- хостів
- HTTPS
- Особистість
- управління ідентифікацією
- реалізації
- вражаючий
- in
- інцидент
- реагування на інциденти
- зростаючий
- все більше і більше
- Інфраструктура
- встановлений
- Слідчі
- рівень
- бібліотека
- МЕЖА
- LINK
- машина
- зробити
- шкідливих програм
- управління
- Майстер-клас
- заходи
- МЗС
- Microsoft
- сучасний
- Грошові
- монітор
- найбільш
- рухатися
- багатофакторна аутентифікація
- множинний
- Таємниця
- Необхідність
- мережу
- мережу
- НВО
- нормальний
- Пропозиції
- операції
- організація
- організаційної
- організації
- Інше
- парний
- Паралельні
- частина
- вперше
- платформа
- plato
- Інформація про дані Платона
- PlatoData
- Play
- ігри
- потенціал
- запобігати
- попередній
- привілейовані
- привілеї
- Процедури
- процес
- Захисні
- провайдери
- підвищення
- залишається
- вимагати
- відповідь
- Зазначений
- то ж
- Серія
- Сервери
- Послуги
- Повинен
- Шоу
- один
- So
- складний
- спеціально
- спонсор
- заявив,
- такі
- поставка
- Ланцюги постачання
- підтримка
- підозрілі
- система
- Systems
- тактика
- Танки
- цільове
- націлювання
- команда
- технічний
- методи
- Технологія
- Команда
- їх
- третя сторона
- загроза
- актори загроз
- через
- по всьому
- ярус
- до
- інструменти
- торкатися
- лікувати
- розкрити
- створеного
- необмежений
- БЕЗ ІМЕНИ
- us
- використання
- користувачі
- видимість
- Що
- який
- ВООЗ
- зефірнет