Cyberangriffe auf Active Directory sind auf dem Vormarsch und setzen AD-, Identitäts- und Sicherheitsteams unter Druck, die sich ständig verändernde, auf AD ausgerichtete Bedrohungslandschaft zu überwachen. Um IT-Experten dabei zu helfen, AD-Angriffe besser zu verstehen und sich davor zu schützen, bietet das Semperis Research Team diese monatliche Zusammenfassung der jüngsten Cyberangriffe, bei denen AD zur Einführung oder Verbreitung von Malware genutzt wurde.
In diesem Monat beleuchtet das Semperis Research Team identitätsbezogene Cyberangriffe, darunter Details zum MeteorExpress-Einbruch in das iranische Zugsystem, mehrere Microsoft-Schwachstellen, darunter PetitPotam und SeriousSam, sowie einen neuen Zero-Day-Einbruch in die SolarWinds-Software.
MeteorExpress-Wiper-Angriff nutzte Active Directory, um das iranische Zugsystem zu kompromittieren
Ein Wiper-Angriff auf das iranische Zugsystem nutzte Active Directory-Gruppenrichtlinien, um Malware über das Netzwerk zu verbreiten, die Dateien verschlüsselte und Volume Shadow Copy Service (VSS)-Backups löschte, was die Wiederherstellung erschwerte.
Microsoft behebt mehrere identitätsbezogene Sicherheitslücken
In einer Reihe von Warnungen, Patches und Workarounds hat Microsoft eine Reihe von identitätsbezogenen Schwachstellen in seiner Software behoben, darunter die PetitPotam-Angriffe auf Windows-Domänencontroller, eine kritische PowerShell 7-Schwachstelle für die Codeausführung und den SeriousSam-Angriff, der es jedem ermöglicht, die Registrierung in Windows 10 zu lesen. Das Unternehmen fügte außerdem die PrintNightmare-Erkennung zu Microsoft Defender for Identity hinzu und ermöglichte es den Sicherheitsteams in Microsoft Defender for Security Operations, das Active Directory-Konto eines kompromittierten Benutzers zu sperren.
CISA warnt Behörden, die Sicherheitslücke im Windows Print Spooler zu schließen
Die Cybersecurity and Infrastructure Security Agency (CISA) des U.S. Department of Homeland Security hat die Behörden der Exekutive angewiesen, sofort den Out-of-Band-Patch anzuwenden, den Microsoft am 7. Juli veröffentlicht hat, um die als PrintNightmare bezeichnete Sicherheitslücke im Windows Print Spooler zu schließen.
Angreifer nutzen Zero-Day-Schwachstelle, um erneut in SolarWinds einzudringen
SolarWinds berichtet, dass Bedrohungsakteure eine Zero-Day-Schwachstelle in der Serv-U Managed File Transfer- und Serv-U Secure FTP-Software ausgenutzt haben, um gezielte Angriffe durchzuführen, die offenbar nichts mit dem umfassenden Angriff auf die Orion-Software zu tun haben, der Ende 2020 aufgedeckt wurde.
REvil entfesselt weitreichenden Angriff auf die Lieferkette über Kaseya
Die Ransomware-Gruppe REvil nutzte die Zero-Day-Schwachstelle, um Malware über ein gefälschtes, automatisiertes Update für die VSA-Lösung von Kaseya auszuliefern, die von Managed Service Providern (MSPs) in den USA und Großbritannien für die Verwaltung der Systeme ihrer Kunden verwendet wird.
Behörden schalten DoubleVPN-Server aus, der von Cyberkriminellen genutzt wird
Unter der Leitung der niederländischen Polizei beschlagnahmte ein Konsortium von Behörden aus den USA, Europa und Kanada die Webdomänen und die Serverinfrastruktur von DoubleVPN, einem VPN, das von Cyberkriminellen zur Verschleierung ihrer Standorte und Identitäten genutzt wird.
AvosLocker nutzt DC-Schwachstellen, um Opfer anzugreifen
Eine neue Ransomware-Gruppe, AvosLocker, hat es auf verwundbare Domain-Controller abgesehen, um sich Zugang zu Informationssystemen zu verschaffen und Malware an ihre Opfer auszuliefern, darunter auch die Stadt Geneva in Ohio.
Mehr Ressourcen
Möchten Sie die Verteidigung Ihres Active Directory gegen Cyberangriffe stärken? Sehen Sie sich unsere neuesten Ressourcen an.