APT-группа, стоящая за атакой на SolarWinds, использует новое ПО для посткомпрометации Active Directory

Microsoft Nobelium SolarWinds MagicWeb FoggyWeb Active Directory
Сервер загружает вредонос как доверенное ПО.

APT-группа, стоящая за атакой на SolarWinds, использует новое ПО для посткомпрометации Active Directory

Злоумышленники, ответственные за атаку на
цепочку поставок SolarWinds , стали использовать новое вредоносное ПО MagicWeb для посткомпрометации, которое используется для поддержания постоянного доступа к скомпрометированной среде и совершения бокового перемещения.
Исследователи из Microsoft
обнаружили , как APT-группа Nobelium использует бэкдор после получения прав администратора на сервере
Active Directory (AD) — служба каталогов, разработанная компанией Microsoft для доменных сетей Windows. Она включена в большинство операционных систем Windows Server в виде набора процессов и служб.
«
data-html=»true» data-original-title=»Active Directory»
>Active Directory
Federated Services (AD FS). При таком привилегированном доступе злоумышленники заменяют законную DLL-библиотеку вредоносной DLL-библиотекой MagicWeb. При этом вредоносное ПО загружается на сервере AD FS как легитимное ПО.
Как и контроллеры домена, серверы AD FS могут аутентифицировать пользователей. MagicWeb облегчает авторизацию для злоумышленников, позволяя манипулировать утверждениями в маркерах аутентификации AD FS. Так хакеры могут аутентифицироваться в сети.
По словам Microsoft, MagicWeb является улучшенной итерацией ранее использовавшегося специализированного инструмента
FoggyWeb , который также обеспечивает прочный плацдарм внутри сетей жертв.
MagicWeb превосходит возможности FoggyWeb по сбору данных, облегчая прямой скрытый доступ. Он манипулирует сертификатами аутентификации пользователя для авторизации, а не сертификатами подписи, используемыми в атаках по типу
Golden SAML .
Согласно
бюллетеню Microsoft , на данный момент использование MagicWeb является весьма целенаправленным. На данный момент о жертвах нового ПО не сообщается.

SECURITYLAB.RU

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *