Cyberangriffe auf Active Directory sind auf dem Vormarsch und setzen AD-, Identitäts- und Sicherheitsteams unter Druck, die sich ständig verändernde, auf AD ausgerichtete Bedrohungslandschaft zu überwachen. Um IT-Experten dabei zu helfen, AD-Angriffe besser zu verstehen und sich davor zu schützen, bietet das Semperis Research Team diese monatliche Zusammenfassung der jüngsten Cyberangriffe, bei denen AD zur Einführung oder Verbreitung von Malware genutzt wurde.
In diesem Monat beleuchtet das Semperis Research Team die Data Wiper-Malware, die bei Cyberangriffen auf ukrainische Regierungs- und Bank-Websites eingesetzt wurde, Fehltritte der NOAA, die Colonial Pipeline und andere Angriffe erleichterten, sowie die Übernahme von TrickBot durch Conti, um die Angriffstechniken zu erweitern.
Cyberangreifer, die es auf die Ukraine abgesehen haben, erlangen Active Directory-Kontrolle, um Datenwiper-Malware abzuwerfen
In den ersten Stunden des russischen Angriffs auf die Ukraine setzten Cyberangreifer ukrainische Regierungsbehörden und Banken außer Gefecht, indem sie Datenwiper-Malware absetzten. In mindestens einem Fall erlangten die Cyberangreifer die Kontrolle über den Active Directory-Server, bevor sie die Wiper-Malware über ein Domänenrichtlinien-GPO absetzten.
Audit: NOAA verwaltete Active Directory "unzureichend", was zu Colonial Pipeline und anderen Angriffen führte
Laut einer Prüfung des U.S. Office of Inspector General hat die National Oceanic and Atmospheric Administration (NOAA) Active Directory "unzureichend" verwaltet und es versäumt, wichtige Ziele wie Benutzeranmeldeinformationen zu sichern - Schwachstellen, die bei dem Angriff auf die Colonial Pipeline sowie bei anderen Angriffen ausgenutzt wurden, die es den Ransomware-Gruppen DarkSide und REvil ermöglichten, Fernzugriff auf US-Einrichtungen zu erhalten.
Conti erwirbt TrickBot Talente, um Active Directory Exploits zu erweitern
Die Ransomware-Gruppe Conti hat ehemalige TrickBot-Penetrationsspezialisten angeheuert, um ihre Fähigkeit zu erweitern, Active Directory-Domänenadministratoren-Zugangsdaten in den Systemen der Opferorganisationen zu erlangen, bevor sie Ransomware einsetzen. Cyberkriminelle haben vor kurzem eine Phishing-Kampagne bei Kunden des U.S. Postal Service durchgeführt, um sie zur Installation der TrickBot-Malware zu verleiten.
Angriffe von Red Cross nutzen Softwarefehler von Drittanbietern aus, um Active Directory zu kompromittieren
Böswillige Akteure nutzten eine Schwachstelle in Zoho ManageEngine ADSelfService Plus, um das Internationale Komitee vom Roten Kreuz (IKRK) anzugreifen und die Daten von mehr als 515.000 Personen zu kompromittieren. Die ungepatchte Sicherheitslücke ermöglichte es den Angreifern, administrative Konten zu kompromittieren, sich seitlich durch das System zu bewegen und Windows Registry Hives und AD-Dateien zu exfiltrieren.
FBI warnt vor LockBit 2.0-Angriffen
Das U.S. Federal Bureau of Investigation (FBI) hat Indikatoren für eine Kompromittierung veröffentlicht, die mit der Ransomware LockBit 2.0 in Verbindung gebracht werden. Die Ransomware verwendet verschiedene Taktiken, Techniken und Verfahren (TTPs), um die Organisationen der Opfer zu kompromittieren, einschließlich des Missbrauchs von AD-Gruppenrichtlinien, um Geräte in Windows-Domänen zu verschlüsseln.