Bí ẩn MagicWeb làm nổi bật sự tinh vi của kẻ tấn công Nobelium

Microsoft đã theo dõi một đường vòng xác thực tinh vi dành cho Dịch vụ Liên kết Active Directory (AD FS), được tiên phong bởi nhóm Nobelium có liên kết với Nga. 

Phần mềm độc hại cho phép bỏ qua xác thực — mà Microsoft gọi là MagicWeb — đã cho Nobelium khả năng cấy một cửa hậu vào máy chủ AD FS của khách hàng giấu tên, sau đó sử dụng các chứng chỉ được chế tạo đặc biệt để bỏ qua quy trình xác thực thông thường. Những người ứng phó sự cố của Microsoft đã thu thập dữ liệu trên luồng xác thực, thu thập các chứng chỉ xác thực mà kẻ tấn công sử dụng, sau đó thiết kế ngược mã cửa hậu.

Tám nhà điều tra đã không tập trung “quá nhiều [vào] một whodunit như cách thực hiện nó,” Nhóm Phát hiện và Phản hồi của Microsoft (DART) đã nêu trong ấn phẩm Loạt bài Ứng phó Sự cố trên Mạng.

Công ty cho biết: “Những kẻ tấn công cấp quốc gia như Nobelium dường như có sự hỗ trợ kỹ thuật và tiền tệ không giới hạn từ nhà tài trợ của chúng, cũng như quyền truy cập vào các chiến thuật, kỹ thuật và quy trình (TTP) hack hiện đại, độc đáo. “Không giống như hầu hết những kẻ xấu, Nobelium thay đổi kỹ thuật của họ trên hầu hết mọi máy móc mà họ chạm vào.”

Cuộc tấn công nhấn mạnh sự tinh vi ngày càng tăng của các nhóm APT, vốn ngày càng nhắm mục tiêu vào chuỗi cung ứng công nghệ, chẳng hạn như SolarWinds vi phạm, và hệ thống nhận dạng. 

Một “lớp cao cấp” trong Cờ vua điện tử

MagicWeb đã sử dụng các chứng nhận có đặc quyền cao để di chuyển ngang qua mạng bằng cách giành quyền truy cập quản trị vào hệ thống AD FS. AD FS là một nền tảng quản lý danh tính cung cấp cách triển khai đăng nhập một lần (SSO) trên các hệ thống đám mây tại chỗ và bên thứ ba. Nhóm Nobelium đã ghép nối phần mềm độc hại với thư viện liên kết động cửa sau (DLL) được cài đặt trong Global Assembly Cache, một phần cơ sở hạ tầng .NET ít người biết đến, Microsoft cho biết.

MagicWeb, mà Microsoft mô tả lần đầu vào tháng 2022 năm XNUMX, được xây dựng trên các công cụ hậu khai thác trước đây, chẳng hạn như FoggyWeb, có thể đánh cắp chứng chỉ từ máy chủ AD FS. Được trang bị những thứ này, những kẻ tấn công có thể tiến sâu vào cơ sở hạ tầng của tổ chức, lấy cắp dữ liệu trên đường đi, đột nhập vào tài khoản và mạo danh người dùng.

Theo Microsoft, mức độ nỗ lực cần thiết để phát hiện ra các công cụ và kỹ thuật tấn công tinh vi cho thấy những kẻ tấn công cấp cao yêu cầu các công ty phải phòng thủ tốt nhất.

Công ty cho biết: “Hầu hết những kẻ tấn công chơi một ván cờ ấn tượng, nhưng chúng tôi ngày càng thấy những kẻ đe dọa dai dẳng tiên tiến chơi một ván cờ ở cấp độ cao thủ”. “Trên thực tế, Nobelium vẫn hoạt động tích cực, thực hiện nhiều chiến dịch song song nhắm mục tiêu vào các tổ chức chính phủ, tổ chức phi chính phủ (NGO), tổ chức liên chính phủ (IGO) và các tổ chức tư vấn trên khắp Hoa Kỳ, Châu Âu và Trung Á.”

Đặc quyền giới hạn cho hệ thống nhận dạng

Các công ty cần coi các hệ thống AD FS và tất cả các nhà cung cấp danh tính (IdP) là tài sản đặc quyền trong cùng một bậc bảo vệ (Cấp 0) như các bộ điều khiển miền, Microsoft đã nêu trong tư vấn ứng phó sự cố của mình. Các biện pháp như vậy giới hạn những người có thể truy cập các máy chủ đó và những máy chủ đó có thể làm gì trên các hệ thống khác. 

Ngoài ra, bất kỳ kỹ thuật phòng thủ nào làm tăng chi phí hoạt động cho những kẻ tấn công mạng đều có thể giúp ngăn chặn các cuộc tấn công, Microsoft tuyên bố. Các công ty nên sử dụng xác thực đa yếu tố (MFA) trên tất cả các tài khoản trong toàn tổ chức và đảm bảo rằng họ giám sát các luồng dữ liệu xác thực để có khả năng hiển thị các sự kiện đáng ngờ tiềm ẩn.

• Phân phối nội dung và PR được hỗ trợ bởi SEO. Được khuếch đại ngay hôm nay.
• Platoblockchain. Web3 Metaverse Intelligence. Khuếch đại kiến ​​thức. Truy cập Tại đây.
• nguồn: https://www.darkreading.com/vulnerabilities-threats/magicweb-mystery-highlights-nobelium-attacker-sophistication