Microsoft Mengungkap Malware Pasca Kompromi Baru yang Digunakan oleh Peretas Nobelium

  • Bagikan
Post-Compromise Malware

Beritaini.top Microsoft Mengungkap Malware Pasca Kompromi Baru yang Digunakan oleh Peretas Nobelium

Malware Pasca Kompromi

Aktor ancaman di balik serangan rantai pasokan SolarWinds telah dikaitkan dengan malware pasca-eksploitasi “sangat bertarget” lainnya yang dapat digunakan untuk mempertahankan akses terus-menerus ke lingkungan yang disusupi.

Dijuluki MagicWeb oleh tim intelijen ancaman Microsoft, pengembangan tersebut menegaskan kembali komitmen Nobelium untuk mengembangkan dan memelihara kemampuan yang dibuat untuk tujuan tertentu.

Nobelium adalah moniker raksasa teknologi untuk sekelompok aktivitas yang terungkap dengan serangan canggih yang menargetkan SolarWinds pada Desember 2020, dan yang tumpang tindih dengan kelompok peretasan negara-bangsa Rusia yang dikenal luas sebagai APT29, Cozy Bear, atau The Dukes.

Keamanan cyber

“Nobelium tetap sangat aktif, melaksanakan beberapa kampanye secara paralel yang menargetkan organisasi pemerintah, organisasi non-pemerintah (LSM), organisasi antar pemerintah (IGO), dan think tank di seluruh AS, Eropa, dan Asia Tengah,” Microsoft dikatakan.

MagicWeb, yang memiliki kesamaan dengan alat lain yang disebut FoggyWeb, dinilai telah digunakan untuk mempertahankan akses dan mencegah penggusuran selama upaya perbaikan, tetapi hanya setelah memperoleh akses yang sangat istimewa ke lingkungan dan bergerak secara lateral ke server AD FS.

Sementara FoggyWeb hadir dengan kemampuan khusus untuk mengirimkan muatan tambahan dan mencuri informasi sensitif dari Layanan Federasi Direktori Aktif (AD FS) server, MagicWeb adalah DLL jahat (versi backdoor dari “Microsoft.IdentityServer.Diagnostics.dll”) yang memfasilitasi akses rahasia ke sistem AD FS melalui bypass otentikasi.

Peretas Nobelium

“Kemampuan Nobel untuk menyebarkan MagicWeb bergantung pada akses ke kredensial yang sangat istimewa yang memiliki akses administratif ke server AD FS, memberi mereka kemampuan untuk melakukan aktivitas jahat apa pun yang mereka inginkan pada sistem yang mereka akses,” kata Microsoft.

Temuan ini muncul setelah pengungkapan kampanye yang dipimpin APT29 yang ditujukan pada organisasi yang berafiliasi dengan NATO dengan tujuan mengakses informasi kebijakan luar negeri.

Keamanan cyber

Secara khusus, ini memerlukan penonaktifan fitur pencatatan perusahaan yang disebut Audit Lingkup (sebelumnya Audit Lanjutan) untuk mengumpulkan email dari akun Microsoft 365. “APT29 terus menunjukkan keamanan operasional dan taktik penghindaran yang luar biasa,” Mandiant dikatakan.

Taktik lain yang lebih baru yang digunakan oleh aktor dalam operasi baru-baru ini adalah penggunaan serangan menebak kata sandi untuk mendapatkan kredensial yang terkait dengan akun yang tidak aktif dan mendaftarkannya untuk otentikasi multi-faktor, memberikannya akses ke infrastruktur VPN organisasi.

APT29 tetap menjadi kelompok ancaman yang produktif seperti halnya terampil. Bulan lalu, Palo Alto Networks Unit 42 menandai kampanye phishing yang memanfaatkan layanan penyimpanan cloud Dropbox dan Google Drive untuk penyebaran malware dan tindakan pasca-kompromi lainnya.

  • Bagikan

Tinggalkan Balasan

Alamat email Anda tidak akan dipublikasikan.