I cyberattacchi che prendono di mira Active Directory sono in aumento, mettendo sotto pressione i team che si occupano di AD, identità e sicurezza per monitorare il panorama delle minacce incentrate sull'AD, in continuo mutamento. Per aiutare i professionisti IT a comprendere meglio e a difendersi dagli attacchi che coinvolgono l'AD, il team di ricerca di Semperis offre questa carrellata mensile di recenti cyberattacchi che hanno utilizzato l'AD per introdurre o propagare malware.
Questo mese, il team di ricerca di Semperis mette in evidenza gli aggressori che utilizzano Bumblebee Loader per sfruttare i servizi Active Directory, un gruppo di minacce iraniano che sfrutta Log4j in una campagna contro Israele, una falla di Windows che potrebbe consentire agli aggressori di compromettere i controller di dominio e altro ancora.
Gli aggressori utilizzano il loader Bumblebee per sfruttare i servizi Active Directory
Gli attori delle minacce utilizzano il loader Bumblebee per effettuare l'escalation dei privilegi, la ricognizione e il furto di credenziali sulle reti target. I criminali informatici utilizzano quindi le credenziali rubate di un utente altamente privilegiato per accedere ad Active Directory.
Il gruppo di minacce Nobelium utilizza la funzionalità MagicWeb per mantenere l'accesso ai sistemi compromessi
Il gruppo di minacce responsabile dell'attacco SolarWinds ha escogitato un modo per mantenere la persistenza negli ambienti compromessi attraverso una funzionalità chiamata MagicWeb. Dopo aver ottenuto l'accesso a credenziali altamente privilegiate ed essersi spostato lateralmente per ottenere i privilegi di un sistema Active Directory Federated Services (ADFS), Nobelium utilizza MagicWeb per creare una backdoor. Gli attori delle minacce possono utilizzare MagicWeb anche per infiltrarsi in Azure AD.
Gli aggressori iraniani sfruttano Log4j nella campagna contro Israele
Un gruppo di minacce iraniano noto sia come MuddyWater che come Mercury sta sfruttando la vulnerabilità Log4j per compromettere le reti aziendali israeliane. Il gruppo utilizza le falle di Log4j per accedere ai sistemi, quindi eleva i privilegi e utilizza Mimikatz per continuare a raccogliere le credenziali dai controller di dominio Active Directory.
Una falla di Windows potrebbe consentire agli aggressori di ottenere il controllo dei DC
Una vulnerabilità (CVE-2022-30216) nelle chiamate di procedura remote (RPC) per il servizio Windows Server potrebbe consentire ai criminali informatici di ottenere il controllo dei controller di dominio (DC) - compresi i servizi e i dati - in specifiche configurazioni di rete.
Il gruppo di ransomware Agenda prende di mira Active Directory per distribuire il malware
Il gruppo di ransomware Agenda ha preso di mira i sistemi basati su Windows in attacchi contro organizzazioni sanitarie e scolastiche in Indonesia, Arabia Saudita, Sudafrica e Thailandia. Agenda utilizza le credenziali trapelate per ottenere l'accesso ad Active Directory, installare strumenti di scansione, creare oggetti Group Policy e distribuire il ransomware sui computer della rete.
Un gruppo APT cinese prende di mira organizzazioni militari e di ricerca con attacchi legati all'identità
Puntando su vulnerabilità note e utilizzando tecniche di elusione del rilevamento note, un gruppo APT cinese ha lanciato campagne contro organizzazioni militari e di ricerca che prevedono la compromissione dei controller di dominio e l'esecuzione di attacchi Kerberoasting su Active Directory.
Un gruppo APT russo prende di mira gli account Microsoft 365 per compromettere Azure AD
Il gruppo di minacce russo CozyBear (alias APT29 e Nobelium) ha preso di mira gli account Microsoft 365 in campagne di spionaggio contro i Paesi della NATO. Il gruppo sfrutta il processo di autoiscrizione per l'autenticazione a più fattori (MFA) in Azure Active Directory per condurre attacchi di forza bruta su nomi utente e password.