Microsoft đã theo dõi một đường vòng xác thực tinh vi dành cho Dịch vụ Liên kết Active Directory (AD FS), được tiên phong bởi nhóm Nobelium có liên kết với Nga.
Phần mềm độc hại cho phép bỏ qua xác thực — mà Microsoft gọi là MagicWeb — đã cho Nobelium khả năng cấy một cửa hậu vào máy chủ AD FS của khách hàng giấu tên, sau đó sử dụng các chứng chỉ được chế tạo đặc biệt để bỏ qua quy trình xác thực thông thường. Những người ứng phó sự cố của Microsoft đã thu thập dữ liệu trên luồng xác thực, thu thập các chứng chỉ xác thực mà kẻ tấn công sử dụng, sau đó thiết kế ngược mã cửa hậu.
Tám nhà điều tra đã không tập trung “quá nhiều [vào] một whodunit như cách thực hiện nó,” Nhóm Phát hiện và Phản hồi của Microsoft (DART) đã nêu trong ấn phẩm Loạt bài Ứng phó Sự cố trên Mạng.
Công ty cho biết: “Những kẻ tấn công cấp quốc gia như Nobelium dường như có sự hỗ trợ kỹ thuật và tiền tệ không giới hạn từ nhà tài trợ của chúng, cũng như quyền truy cập vào các chiến thuật, kỹ thuật và quy trình (TTP) hack hiện đại, độc đáo. “Không giống như hầu hết những kẻ xấu, Nobelium thay đổi kỹ thuật của họ trên hầu hết mọi máy móc mà họ chạm vào.”
Cuộc tấn công nhấn mạnh sự tinh vi ngày càng tăng của các nhóm APT, vốn ngày càng nhắm mục tiêu vào chuỗi cung ứng công nghệ, chẳng hạn như SolarWinds vi phạm, và hệ thống nhận dạng.
Một “lớp cao cấp” trong Cờ vua điện tử
MagicWeb đã sử dụng các chứng nhận có đặc quyền cao để di chuyển ngang qua mạng bằng cách giành quyền truy cập quản trị vào hệ thống AD FS. AD FS là một nền tảng quản lý danh tính cung cấp cách triển khai đăng nhập một lần (SSO) trên các hệ thống đám mây tại chỗ và bên thứ ba. Nhóm Nobelium đã ghép nối phần mềm độc hại với thư viện liên kết động cửa sau (DLL) được cài đặt trong Global Assembly Cache, một phần cơ sở hạ tầng .NET ít người biết đến, Microsoft cho biết.
MagicWeb, mà Microsoft mô tả lần đầu vào tháng 2022 năm XNUMX, được xây dựng trên các công cụ hậu khai thác trước đây, chẳng hạn như FoggyWeb, có thể đánh cắp chứng chỉ từ máy chủ AD FS. Được trang bị những thứ này, những kẻ tấn công có thể tiến sâu vào cơ sở hạ tầng của tổ chức, lấy cắp dữ liệu trên đường đi, đột nhập vào tài khoản và mạo danh người dùng.
Theo Microsoft, mức độ nỗ lực cần thiết để phát hiện ra các công cụ và kỹ thuật tấn công tinh vi cho thấy những kẻ tấn công cấp cao yêu cầu các công ty phải phòng thủ tốt nhất.
Công ty cho biết: “Hầu hết những kẻ tấn công chơi một ván cờ ấn tượng, nhưng chúng tôi ngày càng thấy những kẻ đe dọa dai dẳng tiên tiến chơi một ván cờ ở cấp độ cao thủ”. “Trên thực tế, Nobelium vẫn hoạt động tích cực, thực hiện nhiều chiến dịch song song nhắm mục tiêu vào các tổ chức chính phủ, tổ chức phi chính phủ (NGO), tổ chức liên chính phủ (IGO) và các tổ chức tư vấn trên khắp Hoa Kỳ, Châu Âu và Trung Á.”
Đặc quyền giới hạn cho hệ thống nhận dạng
Các công ty cần coi các hệ thống AD FS và tất cả các nhà cung cấp danh tính (IdP) là tài sản đặc quyền trong cùng một bậc bảo vệ (Cấp 0) như các bộ điều khiển miền, Microsoft đã nêu trong tư vấn ứng phó sự cố của mình. Các biện pháp như vậy giới hạn những người có thể truy cập các máy chủ đó và những máy chủ đó có thể làm gì trên các hệ thống khác.
Ngoài ra, bất kỳ kỹ thuật phòng thủ nào làm tăng chi phí hoạt động cho những kẻ tấn công mạng đều có thể giúp ngăn chặn các cuộc tấn công, Microsoft tuyên bố. Các công ty nên sử dụng xác thực đa yếu tố (MFA) trên tất cả các tài khoản trong toàn tổ chức và đảm bảo rằng họ giám sát các luồng dữ liệu xác thực để có khả năng hiển thị các sự kiện đáng ngờ tiềm ẩn.
- Phân phối nội dung và PR được hỗ trợ bởi SEO. Được khuếch đại ngay hôm nay.
- Platoblockchain. Web3 Metaverse Intelligence. Khuếch đại kiến thức. Truy cập Tại đây.
- nguồn: https://www.darkreading.com/vulnerabilities-threats/magicweb-mystery-highlights-nobelium-attacker-sophistication
- 7
- a
- có khả năng
- truy cập
- Theo
- Trợ Lý Giám Đốc
- ngang qua
- hoạt động
- diễn viên
- Ad
- Ngoài ra
- hành chính
- tiên tiến
- cố vấn
- Tất cả
- và
- APT
- vũ trang
- Á
- hợp ngữ
- Tài sản
- tấn công
- Các cuộc tấn công
- Tháng Tám
- Xác thực
- cửa sau
- Bad
- BEST
- vi phạm
- Phá vỡ
- xây dựng
- Bộ nhớ cache
- gọi là
- Chiến dịch
- Chụp
- trung tâm
- trung á
- Giấy chứng nhận
- chứng chỉ
- chuỗi
- Những thay đổi
- Tướng
- đám mây
- mã
- Các công ty
- công ty
- Phí Tổn
- có thể
- khách hàng
- không gian mạng
- Tấn công mạng
- DART
- dữ liệu
- sâu
- Phòng thủ
- phòng thủ
- mô tả
- Phát hiện
- miền
- xuống
- năng động
- nỗ lực
- Châu Âu
- sự kiện
- Mỗi
- thi hành
- Tên
- dòng chảy
- Chảy
- tập trung
- từ
- FS
- đạt được
- trò chơi
- Toàn cầu
- Chính phủ
- Nhóm
- Các nhóm
- hack
- giúp đỡ
- nổi bật
- cao
- host
- HTTPS
- Bản sắc
- quản lý danh tính
- thực hiện
- ấn tượng
- in
- sự cố
- ứng phó sự cố
- tăng
- lên
- Cơ sở hạ tầng
- cài đặt
- Các nhà điều tra
- Cấp
- Thư viện
- LIMIT
- LINK
- máy
- làm cho
- phần mềm độc hại
- quản lý
- Masterclass
- các biện pháp
- MFA
- microsoft
- hiện đại
- Tiền tệ
- Màn Hình
- hầu hết
- di chuyển
- xác thực đa yếu tố
- nhiều
- Trinh thám
- Cần
- net
- mạng
- Các tổ chức phi chính phủ
- bình thường
- Cung cấp
- Hoạt động
- cơ quan
- tổ chức
- tổ chức
- Nền tảng khác
- ghép đôi
- Song song
- mảnh
- tiên phong
- nền tảng
- plato
- Thông tin dữ liệu Plato
- PlatoDữ liệu
- Play
- chơi
- tiềm năng
- ngăn chặn
- trước
- đặc quyền đặc lợi
- đặc quyền
- thủ tục
- quá trình
- bảo vệ
- nhà cung cấp
- nâng cao
- vẫn còn
- yêu cầu
- phản ứng
- Nói
- tương tự
- Loạt Sách
- Các máy chủ
- DỊCH VỤ
- nên
- Chương trình
- duy nhất
- So
- tinh vi
- đặc biệt
- tài trợ
- quy định
- như vậy
- cung cấp
- Chuỗi cung ứng
- hỗ trợ
- đáng ngờ
- hệ thống
- hệ thống
- chiến thuật
- Xe tăng
- nhắm mục tiêu
- nhắm mục tiêu
- nhóm
- Kỹ thuật
- kỹ thuật
- Công nghệ
- Sản phẩm
- cung cấp their dịch
- của bên thứ ba
- mối đe dọa
- diễn viên đe dọa
- Thông qua
- khắp
- tầng
- đến
- công cụ
- chạm
- điều trị
- khám phá
- độc đáo
- vô hạn
- VÔ DANH
- us
- sử dụng
- Người sử dụng
- khả năng hiển thị
- Điều gì
- cái nào
- CHÚNG TÔI LÀ
- zephyrnet