Руководство по атакам хакерской группы NOBELIUM

Корпорация Microsoft выпустила руководство, чтобы помочь партнерам и заказчикам защититься от атак злоумышленников из хакерской группы Nobelium, осуществляемых в масштабах страны. Nobelium — та же группа злоумышленников, которая атаковала компанию SolarWinds в 2020 году, поскольку в ее последних действиях прослеживается аналогичный метод — «взломай одного (общесистемное ПО, установленное у многих заказчиков), чтобы взломать многих». Корпорация Microsoft в рамках процедуры оповещения в масштабах страны уведомила организации о том, что Центр аналитики угроз (MSTIC) Microsoft отследил атаки группировки Nobelium.

Чтобы снизить потенциальное воздействие этой атаки Nobelium, поставщики облачных служб (CSP), поставщики управляемых служб (MSP) и другие организации, предоставляющие ИТ-службы, которые используют делегированные права администратора (далее «поставщики служб») или которым были предоставлены другие права администратора их заказчиками, должны изучить рекомендации ниже и немедленно принять соответствующие меры в своей организации и компаниях заказчиков.

Корпорация Microsoft отследила действия хакерской группы Nobelium, направленные на привилегированные учетные записи поставщиков служб, которые латерально перемещаются в облачных средах с использованием доверенных технических отношений для получения доступа к заказчикам цепочки поставок технологий и осуществления дополнительных атак либо доступа к целевым системам. Эти атаки являются не результатом уязвимости в системе безопасности продуктов, а скорее продолжением использования группой Nobelium разнообразных и динамически меняющихся методов, включающих в себя сложные вредоносные программы, распыление паролей, атаки на цепочку поставок технологий, кражу токенов доступа, злоупотребление API-интерфейсами, целевой фишинг с целью взлома учетных записей пользователей и злонамеренного использования доступа ктаким учетным записям. Эти атаки выявили необходимость во внедрении всеми администраторами строгих правил безопасного использования учетных записей и в принятии дополнительных мер по обеспечению безопасности их ИТ-сред.

Эти атаки на цепочки поставок технологий подтвердили, что заказчики поставщиков служб и другие организации также подвергаются целенаправленным атакам группы Nobelium. В этих взаимоотношениях между заказчиком и поставщиком заказчик делегирует административные права поставщику, чтобы он мог управлять клиентами заказчика так, как если бы он являлся администратором в организации заказчика. Воруя учетные данные и взламывая учетные записи на уровне поставщика служб, группа Nobelium может использовать несколько потенциальных векторов атак, включая, помимо прочих, делегированные права администратора (DAP), а затем использовать этот доступ для расширения атак в нисходящем направлении через доверенные каналы, такие как внешние VPN-подключения или уникальные решения поставщиков и заказчиков, которые предоставляют возможность доступа к сети.

Смотрите также