Microsoft heeft een geavanceerde authenticatie-bypass opgespoord voor Active Directory Federated Services (AD FS), ontwikkeld door de aan Rusland gelieerde Nobelium-groep.
De malware die de authenticatie omzeilde - door Microsoft MagicWeb genoemd - gaf Nobelium de mogelijkheid om een achterdeur te implanteren op de AD FS-server van de naamloze klant en vervolgens speciaal vervaardigde certificaten te gebruiken om het normale authenticatieproces te omzeilen. Microsoft-incidentresponders verzamelden gegevens over de authenticatiestroom, legden de authenticatiecertificaten vast die door de aanvaller werden gebruikt en voerden vervolgens reverse-engineering uit op de backdoor-code.
De acht onderzoekers waren niet zozeer gefocust op "een whodunit als wel een how-done-it", aldus het Detection and Response Team (DART) van Microsoft. vermeld in de Incident Response Cyberattack Series-publicatie.
"Nation-state aanvallers zoals Nobelium hebben schijnbaar onbeperkte monetaire en technische steun van hun sponsor, evenals toegang tot unieke, moderne hacktactieken, -technieken en -procedures (TTP's)", aldus het bedrijf. "In tegenstelling tot de meeste slechte acteurs, verandert Nobelium van beroep op bijna elke machine die ze aanraken."
De aanval onderstreept de toenemende verfijning van APT-groepen, die zich steeds meer richten op de toeleveringsketens van technologie, zoals de SolarWinds inbreuk, en identiteit systemen.
Een “Masterclass” in Cyberschaken
MagicWeb gebruikte zeer bevoorrechte certificeringen om lateraal door het netwerk te bewegen door beheerderstoegang te krijgen tot een AD FS-systeem. AD FS is een platform voor identiteitsbeheer dat een manier biedt om eenmalige aanmelding (SSO) te implementeren in on-premises en externe cloudsystemen. De Nobelium-groep koppelde de malware aan een backdoor dynamic link library (DLL) die was geïnstalleerd in de Global Assembly Cache, een obscuur stukje .NET-infrastructuur, aldus Microsoft.
MagicWeb, wat Microsoft voor het eerst beschreven in augustus 2022, was gebouwd op eerdere post-exploitatietools, zoals FoggyWeb, dat certificaten van AD FS-servers kon stelen. Hiermee gewapend konden de aanvallers diep in de infrastructuur van de organisatie doordringen, onderweg gegevens exfiltreren, inbreken in accounts en zich voordoen als gebruikers.
Het niveau van inspanning dat nodig is om de geavanceerde aanvalstools en -technieken bloot te leggen, toont aan dat de hoogste echelons van aanvallers eisen dat bedrijven hun beste verdediging spelen, aldus Microsoft.
"De meeste aanvallers spelen een indrukwekkend damspel, maar we zien steeds vaker dat geavanceerde hardnekkige bedreigingsactoren een schaakspel op masterclass-niveau spelen", aldus het bedrijf. "Nobelium blijft zelfs zeer actief en voert tegelijkertijd meerdere campagnes uit die gericht zijn op overheidsorganisaties, niet-gouvernementele organisaties (NGO's), intergouvernementele organisaties (IGO's) en denktanks in de VS, Europa en Centraal-Azië."
Beperk bevoegdheden voor identiteitssystemen
Bedrijven moeten AD FS-systemen en alle identiteitsproviders (IdP's) behandelen als geprivilegieerde activa in dezelfde beschermingslaag (Tier 0) als domeincontrollers, stelt Microsoft in zijn incidentresponsadvies. Dergelijke maatregelen beperken wie toegang heeft tot die hosts en wat die hosts kunnen doen op andere systemen.
Bovendien kunnen alle verdedigingstechnieken die de operationele kosten voor cyberaanvallers verhogen, aanvallen helpen voorkomen, aldus Microsoft. Bedrijven moeten multifactorauthenticatie (MFA) gebruiken voor alle accounts in de hele organisatie en ervoor zorgen dat ze de authenticatiegegevensstromen bewaken om inzicht te krijgen in mogelijke verdachte gebeurtenissen.
- Door SEO aangedreven content en PR-distributie. Word vandaag nog versterkt.
- Platoblockchain. Web3 Metaverse Intelligentie. Kennis versterkt. Toegang hier.
- Bron: https://www.darkreading.com/vulnerabilities-threats/magicweb-mystery-highlights-nobelium-attacker-sophistication
