Cyberangriffe auf Active Directory sind auf dem Vormarsch und setzen AD-, Identitäts- und Sicherheitsteams unter Druck, die sich ständig verändernde, auf AD ausgerichtete Bedrohungslandschaft zu überwachen. Um IT-Experten dabei zu helfen, AD-Angriffe besser zu verstehen und sich davor zu schützen, bietet das Semperis Research Team diese monatliche Zusammenfassung der jüngsten Cyberangriffe, bei denen AD zur Einführung oder Verbreitung von Malware genutzt wurde.
Diesen Monat berichtet das Semperis Research Team über Angreifer, die den Bumblebee Loader nutzen, um Active Directory-Dienste auszunutzen, über eine iranische Bedrohungsgruppe, die Log4j in einer Kampagne gegen Israel ausnutzt, über eine Windows-Schwachstelle, die es Angreifern ermöglichen könnte, Domänencontroller zu kompromittieren, und vieles mehr.
Angreifer nutzen Bumblebee-Loader, um Active Directory-Dienste auszunutzen
Bedrohungsakteure nutzen den Bumblebee-Loader, um Privilegienerweiterung, Aufklärung und Diebstahl von Zugangsdaten in Zielnetzwerken durchzuführen. Die Cyberkriminellen verwenden dann die gestohlenen Anmeldeinformationen eines hoch privilegierten Benutzers, um Zugang zu Active Directory zu erhalten.
Nobelium-Bedrohungsgruppe nutzt MagicWeb-Fähigkeit, um Zugang zu kompromittierten Systemen zu erhalten
Die Bedrohungsgruppe, die für den SolarWinds-Angriff verantwortlich ist, hat eine Methode entwickelt, um in kompromittierten Umgebungen durch eine Funktion namens MagicWeb zu überleben. Nachdem sie sich Zugang zu hochprivilegierten Anmeldeinformationen verschafft und sich seitlich bewegt hat, um Privilegien für ein Active Directory Federated Services (ADFS) System zu erlangen, verwendet Nobelium MagicWeb, um eine Hintertür zu schaffen. Bedrohungsakteure können MagicWeb auch verwenden, um Azure AD zu infiltrieren.
Iranische Angreifer nutzen Log4j für Kampagne gegen Israel
Eine iranische Bedrohungsgruppe, die sowohl als MuddyWater als auch als Mercury bekannt ist, nutzt die Log4j-Schwachstelle aus, um israelische Unternehmensnetzwerke zu kompromittieren. Die Gruppe nutzt die Schwachstellen in Log4j aus, um sich Zugang zu Systemen zu verschaffen. Anschließend erhöht sie ihre Privilegien und nutzt Mimikatz, um weiterhin Anmeldedaten von Active Directory-Domänencontrollern zu sammeln.
Windows-Schwachstelle könnte Angreifern die Kontrolle über DCs ermöglichen
Eine Sicherheitslücke (CVE-2022-30216) in Remote Procedure Calls (RPC) für den Windows Server-Dienst könnte es Cyberkriminellen ermöglichen, in bestimmten Netzwerkkonfigurationen die Kontrolle über Domänencontroller (DCs) einschließlich Diensten und Daten zu übernehmen.
Agenda Ransomware-Gruppe zielt auf Active Directory, um Malware zu verteilen
Die Ransomware-Gruppe Agenda hat bei Angriffen auf Gesundheits- und Bildungseinrichtungen in Indonesien, Saudi-Arabien, Südafrika und Thailand gezielt Windows-basierte Systeme angegriffen. Agenda nutzt geleakte Zugangsdaten, um sich Zugang zu Active Directory zu verschaffen, Scanning-Tools zu installieren, Gruppenrichtlinien-Objekte zu erstellen und Ransomware auf Rechnern im gesamten Netzwerk zu installieren.
Chinesische APT-Gruppe zielt mit identitätsbezogenen Angriffen auf Militär- und Forschungsorganisationen
Eine chinesische APT-Gruppe hat Kampagnen gegen Militär- und Forschungsorganisationen gestartet, die auf bekannte Schwachstellen abzielen und bekannte Techniken zur Umgehung der Erkennung einsetzen. Dabei werden Domain-Controller kompromittiert und Kerberoasting-Angriffe auf Active Directory durchgeführt.
Russische APT-Gruppe zielt auf Microsoft 365-Konten, um Azure AD zu kompromittieren
Die russische Bedrohungsgruppe CozyBear (auch bekannt als APT29 und Nobelium) hat es bei Spionagekampagnen gegen NATO-Länder auf Microsoft 365-Konten abgesehen. Die Gruppe nutzt den Selbstregistrierungsprozess für die Multi-Faktor-Authentifizierung (MFA) in Azure Active Directory aus, um Brute-Force-Angriffe auf Benutzernamen und Kennwörter durchzuführen.