MagicWeb destaca a sofisticação do invasor Nobelium

A Microsoft rastreou um desvio de autenticação sofisticado para os Serviços Federados do Active Directory (AD FS), iniciado pelo grupo Nobelium, vinculado à Rússia.

O malware que permitiu o desvio de autenticação – que a Microsoft chamou de MagicWeb – deu ao Nobelium a capacidade de implantar um backdoor no servidor AD FS do cliente não identificado e, em seguida, usar certificados especialmente criados para ignorar o processo normal de autenticação. Os respondentes de incidentes da Microsoft coletaram dados no fluxo de autenticação, capturando os certificados de autenticação usados ​​pelo invasor e, em seguida, fizeram a engenharia reversa do código backdoor.

Os oito investigadores não estavam focados “tanto em um mistério quanto em como fazer isso”, afirmou a Equipe de Detecção e Resposta (DART) da Microsoft em sua publicação Incident Response Cyberattack Series.

“Atacantes de estado-nação como Nobelium têm suporte monetário e técnico aparentemente ilimitado de seu patrocinador, bem como acesso a táticas, técnicas e procedimentos (TTPs) de hackers modernos e exclusivos”, afirmou a empresa. “Ao contrário da maioria dos maus atores, Nobelium muda seu ofício em quase todas as máquinas que tocam.”

O ataque ressalta a crescente sofisticação dos grupos APT, que visam cada vez mais as cadeias de suprimentos de tecnologia, como a violação da SolarWinds e os sistemas de identidade.

Uma “Masterclass” em Cyber ​​Chess

A MagicWeb usou certificações altamente privilegiadas para se mover lateralmente pela rede obtendo acesso administrativo a um sistema AD FS. O AD FS é uma plataforma de gerenciamento de identidade que oferece uma maneira de implementar o logon único (SSO) em sistemas de nuvem locais e de terceiros. O grupo Nobelium combinou o malware com uma biblioteca de vínculo dinâmico (DLL) backdoor instalada no Global Assembly Cache, uma parte obscura da infraestrutura. NET, disse a Microsoft.

MagicWeb, que a Microsoft descreveu pela primeira vez em agosto de 2022, foi construído em ferramentas anteriores de pós-exploração, como FoggyWeb, que poderia roubar certificados de servidores AD FS. Armados com eles, os invasores podem penetrar profundamente na infraestrutura organizacional, exfiltrando dados ao longo do caminho, invadindo contas e se passando por usuários.

O nível de esforço necessário para descobrir as sofisticadas ferramentas e técnicas de ataque mostra que os escalões superiores dos invasores exigem que as empresas façam sua melhor defesa, de acordo com a Microsoft.

“A maioria dos invasores joga um jogo de damas impressionante, mas cada vez mais vemos agentes de ameaças persistentes avançados jogando um jogo de xadrez de nível mestre”, afirmou a empresa. “Na verdade, a Nobelium continua altamente ativa, executando várias campanhas em paralelo visando organizações governamentais, organizações não-governamentais (ONGs), organizações intergovernamentais (IGOs) e think tanks nos EUA, Europa e Ásia Central.”

Limitar Privilégios para Sistemas de Identidade

As empresas precisam tratar os sistemas AD FS e todos os provedores de identidade (IdPs) como ativos privilegiados no mesmo nível de proteção (Nível 0) que os controladores de domínio, afirmou a Microsoft em seu comunicado de resposta a incidentes. Essas medidas limitam quem pode acessar esses hosts e o que esses hosts podem fazer em outros sistemas.

Além disso, quaisquer técnicas defensivas que aumentem o custo das operações para os ciberataques podem ajudar a prevenir ataques, afirmou a Microsoft. As empresas devem usar a autenticação multifator (MFA) em todas as contas da organização e certificar-se de monitorar os fluxos de dados de autenticação para ter visibilidade de possíveis eventos suspeitos.

Fonte: darkreading