MagicWeb 之谜凸显了 Nobelium 攻击者的老练

微软已经追踪到由与俄罗斯有联系的 Nobelium 集团首创的针对 Active Directory 联合服务 (AD FS) 的复杂身份验证绕过方法。 

允许身份验证绕过的恶意软件——微软称之为 MagicWeb——使 Nobelium 能够在未具名客户的 AD FS 服务器上植入后门，然后使用特制证书绕过正常的身份验证过程。 微软事件响应人员收集了身份验证流程的数据，捕获了攻击者使用的身份验证证书，然后对后门代码进行了逆向工程。

八名调查人员并没有“更多地关注 [on] 一个 whodunit，而不是 how-done-it”，Microsoft 的检测和响应团队 (DART) 在其事件响应网络攻击系列出版物中说明.

“像 Nobelium 这样的民族国家攻击者从他们的赞助商那里获得了看似无限的金钱和技术支持，以及获得独特的现代黑客策略、技术和程序 (TTP)，”该公司表示。 “与大多数不良行为者不同，Nobelium 几乎在他们接触的每一台机器上都会改变他们的交易技巧。”

这次攻击凸显了 APT 组织的日益复杂，这些组织越来越多地针对技术供应链， 比如太阳风 违约，以及 身份系统. 

网络象棋的“大师班”

MagicWeb 使用高特权证书通过获得对 AD FS 系统的管理访问权限在网络中横向移动。 AD FS 是一个身份管理平台，它提供了一种跨本地和第三方云系统实施单点登录 (SSO) 的方法。 微软表示，Nobelium 小组将该恶意软件与安装在全局程序集缓存中的后门动态链接库 (DLL) 配对，全局程序集缓存是一个不起眼的 .NET 基础设施。

MagicWeb，其中 微软于 2022 年 XNUMX 月首次描述，建立在以前的后开发工具之上，例如 FoggyWeb，它可以从 AD FS 服务器窃取证书。 有了这些，攻击者就可以深入组织基础设施，沿途窃取数据，闯入帐户并冒充用户。

据微软称，发现复杂的攻击工具和技术所需的努力水平表明，攻击者的上层要求公司发挥最大的防御作用。

该公司表示：“大多数攻击者玩的是令人印象深刻的跳棋游戏，但我们越来越多地看到先进的持续性威胁演员正在玩大师级的国际象棋游戏。” “事实上，Nobelium 仍然非常活跃，同时针对美国、欧洲和中亚的政府组织、非政府组织 (NGO)、政府间组织 (IGO) 和智库开展多项活动。”

限制身份系统的权限

微软在其事件响应咨询中表​​示，公司需要将 AD FS 系统和所有身份提供者 (IdP) 视为与域控制器处于同一保护层（第 0 层）中的特权资产。 这些措施限制了谁可以访问这些主机以及这些主机可以在其他系统上做什么。 

此外，微软表示，任何增加网络攻击者运营成本的防御技术都有助于防止攻击。 公司应在整个组织的所有帐户中使用多因素身份验证 (MFA)，并确保他们监控身份验证数据流以了解潜在的可疑事件。

• SEO 支持的内容和 PR 分发。 今天得到放大。
• 柏拉图区块链。 Web3 元宇宙智能。 知识放大。 访问这里。
• Sumber: https://www.darkreading.com/vulnerabilities-threats/magicweb-mystery-highlights-nobelium-attacker-sophistication