Os ciberataques que visam o Active Directory estão a aumentar, o que pressiona as equipas de AD, identidade e segurança a monitorizarem o cenário de ameaças em constante mudança centrado no AD. Para ajudar os profissionais de TI a compreender melhor e a proteger-se contra ataques que envolvem o AD, a equipa de investigação da Semperis oferece este resumo mensal de ciberataques recentes que utilizaram o AD para introduzir ou propagar malware.
Este mês, a equipa de investigação da Semperis destaca os atacantes que utilizam o Bumblebee Loader para explorar os serviços do Active Directory, um grupo de ameaças iraniano que explora o Log4j numa campanha contra Israel, uma falha no Windows que pode permitir que os atacantes comprometam os controladores de domínio e muito mais.
Os atacantes utilizam o carregador Bumblebee para explorar os serviços do Active Directory
Os agentes de ameaças estão a utilizar o carregador Bumblebee para efectuar o escalonamento de privilégios, o reconhecimento e o roubo de credenciais em redes alvo. Os cibercriminosos utilizam então as credenciais roubadas de um utilizador altamente privilegiado para obter acesso ao Active Directory.
O grupo de ameaças Nobelium utiliza a capacidade MagicWeb para manter o acesso a sistemas comprometidos
O grupo de ameaças responsável pelo ataque à SolarWinds concebeu uma forma de manter a persistência em ambientes comprometidos através de uma capacidade chamada MagicWeb. Depois de obter acesso a credenciais altamente privilegiadas e de se deslocar lateralmente para obter privilégios num sistema ADFS (Active Directory Federated Services), a Nobelium utiliza o MagicWeb para criar uma backdoor. Os agentes de ameaças também podem utilizar o MagicWeb para se infiltrarem no Azure AD.
Atacantes iranianos exploram Log4j em campanha contra Israel
Um grupo de ameaças iraniano, conhecido como MuddyWater e Mercury, está a explorar a vulnerabilidade Log4j para comprometer redes empresariais israelitas. O grupo utiliza as falhas do Log4j para obter acesso aos sistemas, depois eleva os privilégios e utiliza o Mimikatz para continuar a recolher credenciais dos controladores de domínio do Active Directory.
Falha no Windows pode permitir que os atacantes ganhem o controlo dos DCs
Uma vulnerabilidade (CVE-2022-30216) nas chamadas de procedimento remoto (RPC) para o serviço Windows Server pode permitir que os cibercriminosos obtenham controlo sobre os controladores de domínio (DC) - incluindo serviços e dados - em configurações de rede específicas.
Grupo de ransomware da Agenda visa o Active Directory para instalar malware
O grupo de ransomware Agenda tem como alvo sistemas baseados em Windows em ataques contra organizações de saúde e educação na Indonésia, Arábia Saudita, África do Sul e Tailândia. O grupo Agenda utiliza credenciais que vazaram para obter acesso ao Active Directory, instalar ferramentas de scanning, criar Objectos de Política de Grupo e implementar ransomware em máquinas da rede.
Grupo APT chinês visa organizações militares e de investigação com ataques relacionados com a identidade
Visando vulnerabilidades conhecidas e utilizando técnicas de evasão de detecção conhecidas, um grupo APT chinês lançou campanhas contra organizações militares e de investigação que envolvem o comprometimento de controladores de domínio e a realização de ataques Kerberoasting no Active Directory.
Grupo APT russo visa contas do Microsoft 365 para comprometer o Azure AD
O grupo de ameaças russo CozyBear (também conhecido por APT29 e Nobelium) visou contas Microsoft 365 em campanhas de espionagem contra países da NATO. O grupo explora o processo de auto-inscrição para autenticação multi-factor (MFA) no Azure Active Directory para realizar ataques de força bruta a nomes de utilizador e palavras-passe.