Cyberangriffe auf Active Directory sind auf dem Vormarsch und setzen AD-, Identitäts- und Sicherheitsteams unter Druck, die sich ständig verändernde, auf AD ausgerichtete Bedrohungslandschaft zu überwachen. Um IT-Experten dabei zu helfen, AD-Angriffe besser zu verstehen und sich davor zu schützen, bietet das Semperis Research Team diese monatliche Zusammenfassung der jüngsten Cyberangriffe, bei denen AD zur Einführung oder Verbreitung von Malware genutzt wurde.
In diesem Monat berichtet das Semperis Research Team über die aufkommende Bloody Ransomware Gang, eine SEO-Vergiftungskampagne, die zu einer Kompromittierung des Active Directory führen könnte, und mehrere Angriffe der Ransomware-Gruppe Hive.
Aufstrebende Ransomware-Gruppe nutzt durchgesickerten LockBit-Builder für Angriffe auf ukrainische Einrichtung
Die Bloody Ransomware Gang, die im Mai 2022 mit Angriffen auf New Yorker Arzt- und Zahnarztpraxen begann, verwendete einen LockBit 3.0 Ransomware-Builder, der auf Twitter durchsickerte, um Angriffe auf eine ukrainische Organisation zu starten. Die LockBit-Gruppe verwendet verschiedene Taktiken, Techniken und Verfahren (TTPs), um Opferorganisationen zu kompromittieren, einschließlich des Missbrauchs von AD-Gruppenrichtlinien, um Geräte in Windows-Domänen zu verschlüsseln.
SEO-Vergiftungskampagne kompromittiert mehrere Organisationen
Cyberkriminelle nutzten eine SEO-Poisoning-Kampagne, um mehrere Organisationen anzugreifen, indem sie Mitarbeiter, die bestimmte Suchbegriffe verwenden, dazu bringen, auf bösartige Suchergebnisse zu klicken. Opfer, die auf Ressourcen klicken, die auf gefälschten Forenseiten angeboten werden, setzen Malware frei, die Benutzerinformationen sammelt, die den internen Domänennamen des Unternehmens preisgeben könnten, was zu einer Gefährdung des Active Directory führen könnte.
Lapsus$ bricht in die internen Systeme von Uber ein
Die jugendliche Cybercrime-Gruppe Lapsus$ hat sich zu einem Angriff bekannt, der die Systeme von Uber kompromittiert hat, einschließlich des Slack-Kanals und der Intranet-Webseiten. Microsoft hat vor verschiedenen Taktiken gewarnt, die Lapsus$ anwendet. Dazu gehört die Ausnutzung von Schwachstellen in Tools wie Confluence und GitLab, um an Zugangsdaten für privilegierte Konten zu gelangen, und die Verwendung eines integrierten Microsoft-Befehls (ntdsutil), um die AD-Datenbank eines anvisierten Netzwerks zu extrahieren.
Hive-Gruppe bekennt sich zu Angriffen auf Organisationen in New York und Kanada
Die Ransomware-Gruppe Hive hat im letzten Sommer Angriffe auf die New York Racing Association und Empress EMS, einen in New York ansässigen Anbieter von Notdiensten und Krankenwagen, verübt. Hive hat sich auch kürzlich zu einem Angriff auf die Bell Canada-Tochter Bell Technical Solutions bekannt. Neben anderen Taktiken verwendet Hive Remote-Admin-Software, um Systeme zu infiltrieren und Persistenz herzustellen, und setzt dann Tools wie ADRecon ein, um die AD-Umgebung abzubilden.
BlackCat behauptet Angriff auf italienische Energieagentur
Die Ransomware-Gruppe BlackCat (auch bekannt als AlphV) hat sich zu einem Angriff auf die italienische Energieagentur Gestore dei Servizi Energetici SpA (GSE) bekannt, bei dem die Website und andere Systeme des Unternehmens ausgefallen sind. Microsoft hat vor kurzem davor gewarnt, dass die Ransomware-Gruppe BlackCat es auf Exchange-Server abgesehen hat, um Active Directory-Informationen zu sammeln, die zur Kompromittierung der Umgebung und zum Absetzen von dateiverschlüsselnden Nutzdaten benötigt werden.