Microsoft, öncülüğünü Rusya bağlantılı Nobelium grubunun yaptığı Active Directory Federated Services (AD FS) için gelişmiş bir kimlik doğrulama baypasının izini sürdü.
Microsoft’un MagicWeb olarak adlandırdığı, kimlik doğrulamasını atlatmaya izin veren kötü amaçlı yazılım, Nobelium’a adsız müşterinin AD FS sunucusuna bir arka kapı yerleştirme ve ardından normal kimlik doğrulama sürecini atlamak için özel hazırlanmış sertifikalar kullanma yeteneği verdi. Microsoft olay müdahale ekipleri, saldırgan tarafından kullanılan kimlik doğrulama sertifikalarını yakalayarak kimlik doğrulama akışıyla ilgili verileri topladı ve ardından arka kapı kodunu tersine mühendislikle işledi.
Sekiz müfettiş “çok fazla” odaklanmadı. [on] “nasıl yapılır” olarak bir whodunit,” Microsoft’un Tespit ve Müdahale Ekibi (DART) Incident Response Cyberattack Series yayınında belirtilmiştir.
Şirket, “Nobelium gibi ulus-devlet saldırganları, sponsorlarından görünüşte sınırsız parasal ve teknik desteğin yanı sıra benzersiz, modern bilgisayar korsanlığı taktiklerine, tekniklerine ve prosedürlerine (TTP’ler) erişime sahipler” dedi. “Çoğu kötü oyuncunun aksine, Nobelium dokundukları hemen hemen her makinede mesleklerini değiştirir.”
Saldırı, SolarWinds ihlali ve kimlik sistemleri gibi teknoloji tedarik zincirlerini giderek daha fazla hedef alan APT gruplarının artan karmaşıklığının altını çiziyor.
Siber Satrançta Bir “Ustalık Sınıfı”
MagicWeb, bir AD FS sistemine yönetici erişimi sağlayarak ağda yanal olarak hareket etmek için yüksek düzeyde ayrıcalıklı sertifikalar kullandı. AD FS, şirket içi ve üçüncü taraf bulut sistemlerinde çoklu oturum açma (SSO) uygulama yöntemi sunan bir kimlik yönetimi platformudur. Microsoft, Nobelium grubunun kötü amaçlı yazılımı, belirsiz bir .NET altyapısı parçası olan Global Assembly Cache’de kurulu bir arka kapı dinamik bağlantı kitaplığı (DLL) ile eşleştirdiğini söyledi.
MagicWeb, hangi Microsoft ilk olarak Ağustos 2022’de tanımlandı, AD FS sunucularından sertifika çalabilen FoggyWeb gibi önceki kullanım sonrası araçları üzerine kurulmuştur. Bunlarla donanmış olan saldırganlar, kurumsal altyapının derinliklerine girebilir, yol boyunca verileri sızdırabilir, hesaplara girebilir ve kullanıcıların kimliğine bürünebilir.
Microsoft’a göre, karmaşık saldırı araçlarını ve tekniklerini ortaya çıkarmak için gereken çaba düzeyi, saldırganların üst kademelerinin şirketlerin en iyi savunmalarını yapmalarını gerektirdiğini gösteriyor.
Şirket, “Saldırganların çoğu etkileyici bir dama oyunu oynuyor, ancak gelişmiş ısrarlı tehdit aktörlerinin ustalık sınıfı düzeyinde bir satranç oyunu oynadığını giderek daha fazla görüyoruz” dedi. “Aslında Nobelium, ABD, Avrupa ve Orta Asya’daki devlet kuruluşlarını, sivil toplum kuruluşlarını (STK’lar), hükümetler arası kuruluşları (IGO’lar) ve düşünce kuruluşlarını hedef alan paralel olarak çok sayıda kampanya yürüterek oldukça aktif olmaya devam ediyor.”
Kimlik Sistemleri İçin Sınırlı Ayrıcalıklar
Microsoft, olay yanıt danışmanlığında, şirketlerin AD FS sistemlerini ve tüm kimlik sağlayıcılarını (IdP’ler) etki alanı denetleyicileri olarak aynı koruyucu katmanda (Katman 0) ayrıcalıklı varlıklar olarak ele alması gerektiğini belirtti. Bu tür önlemler, bu ana bilgisayarlara kimlerin erişebileceğini ve bu ana bilgisayarların diğer sistemlerde neler yapabileceğini sınırlar.
Ayrıca Microsoft, siber saldırganlar için operasyon maliyetini artıran herhangi bir savunma tekniğinin saldırıları önlemeye yardımcı olabileceğini belirtti. Şirketler, kuruluş genelindeki tüm hesaplarda çok faktörlü kimlik doğrulamayı (MFA) kullanmalı ve olası şüpheli olayları görebilmek için kimlik doğrulama veri akışlarını izlediklerinden emin olmalıdır.