Microsoft phát hiện ra phần mềm độc hại mới sau thỏa hiệp được sử dụng bởi tin tặc Nobelium

Phần mềm độc hại sau thỏa hiệp

Tác nhân đe dọa đằng sau cuộc tấn công chuỗi cung ứng SolarWinds có liên quan đến một phần mềm độc hại sau khai thác “được nhắm mục tiêu cao” khác có thể được sử dụng để duy trì quyền truy cập liên tục vào các môi trường bị xâm phạm.

Được mệnh danh MagicWeb bởi các nhóm tình báo về mối đe dọa của , sự phát triển nhắc lại cam kết của trong việc phát triển và duy trì các khả năng được xây dựng có mục đích.

Nobelium là biệt danh của gã khổng lồ công nghệ cho một nhóm hoạt động được đưa ra ánh sáng với cuộc tấn công tinh vi nhắm vào SolarWinds vào tháng 12 năm 2020 và trùng lặp với nhóm hack nhà nước quốc gia Nga được biết đến rộng rãi như APT29, Cozy Bear hoặc The Dukes.

“Nobelium vẫn hoạt động tích cực, thực hiện nhiều chiến dịch song song nhắm vào các tổ chức chính phủ, tổ chức phi chính phủ (NGO), tổ chức liên chính phủ (IGO) và các tổ chức tư vấn trên khắp Hoa Kỳ, Châu Âu và Trung Á”, Microsoft cho biết.

MagicWeb, chia sẻ điểm tương đồng với một công cụ khác có tên là FoggyWeb, được đánh giá là đã được triển khai để duy trì quyền truy cập và trục xuất trước trong các nỗ lực khắc phục, nhưng chỉ sau khi có được quyền truy cập đặc quyền cao vào môi trường và chuyển ngang sang máy chủ AD FS.

Xem tiếp:   Cựu kỹ sư CIA bị kết tội làm rò rỉ bí mật tấn công 'Vault 7' cho Wikileaks

Trong khi FoggyWeb đi kèm với các khả năng chuyên biệt để cung cấp các tải bổ sung và lấy cắp thông tin nhạy cảm từ các máy chủ Active Directory Federation Services (AD FS), MagicWeb là một DLL giả mạo (một phiên bản backdoored của “Microsoft.IdentityServer.Diagnostics.dll”) tạo điều kiện cho việc truy cập bí mật vào một hệ thống AD FS thông qua một vòng bỏ qua xác thực.

Tin tặc Nobelium

“Khả năng triển khai MagicWeb của Nobelium phụ thuộc vào việc có quyền truy cập vào các thông tin xác thực đặc quyền cao có quyền truy cập quản trị vào các máy chủ AD FS, cho phép họ thực hiện bất kỳ hoạt động độc hại nào họ muốn trên hệ thống mà họ có quyền truy cập”, Microsoft cho biết.

Các phát hiện được đưa ra sau khi tiết lộ một chiến dịch do APT29 dẫn đầu nhằm vào các tổ chức liên kết của NATO với mục tiêu tiếp cận thông tin chính sách đối ngoại.

Cụ thể, điều này dẫn đến việc vô hiệu hóa tính năng ghi nhật ký doanh nghiệp có tên là Purview Audit (trước đây là Kiểm toán nâng cao) để thu thập email từ tài khoản Microsoft 365. “APT29 tiếp tục chứng minh các chiến thuật trốn tránh và bảo mật hoạt động đặc biệt”, Mandiant nói.

Một chiến thuật mới hơn khác được tác nhân sử dụng trong các hoạt động gần đây là sử dụng cuộc tấn công đoán mật khẩu để lấy thông tin đăng nhập được liên kết với tài khoản không hoạt động và đăng ký tài khoản đó để xác thực đa yếu tố, cấp cho nó quyền truy cập vào cơ sở hạ tầng của tổ chức.

Xem tiếp:   Lỗi RCE quan trọng có thể cho phép tin tặc chiếm đoạt từ xa các bộ định tuyến DrayTek Vigor

APT29 vẫn là một nhóm mối đe dọa sung mãn chỉ vì nó khéo léo. Tháng trước, Palo Alto Networks Unit 42 đã gắn cờ một chiến dịch lừa đảo lợi dụng các dịch vụ lưu trữ đám mây Dropbox và Google Drive để triển khai phần mềm độc hại và các hành động sau thỏa hiệp khác.

.

Related Posts

Check Also

Tin tặc chủ động khai thác lỗ hổng mới của tường lửa Sophos RCE

Công ty phần mềm bảo mật Sophos đã cảnh báo về các cuộc tấn công …