Σήμερα, η Microsoft κοινοποιεί πληροφορίες και εκδίδει οδηγίες ασφαλείας σχετικά με την δραστηριότητα που προέρχεται από έναν εξελιγμένο απειλητικό παράγοντα που επικεντρώνεται σε στόχους υψηλής αξίας, όπως κυβερνητικές υπηρεσίες και εταιρείες ασφάλειας στον κυβερνοχώρο. Η Microsoft αναφέρει: “Πιστεύουμε ότι πρόκειται για την δραστηριότητα κάποιου έθνους που απευθύνεται τόσο στον κυβερνητικό όσο και στον ιδιωτικό τομέα. Παρόλο που δεν κοινοποιούμε λεπτομέρειες ειδικά για μεμονωμένους οργανισμούς, είναι σημαντικό για εμάς να μοιραστούμε περισσότερες λεπτομέρειες σχετικά με κάποιες από τις απειλητικές δραστηριότητες που έχουμε ανακαλύψει τις τελευταίες εβδομάδες, μαζί με οδηγίες που μπορούν να χρησιμοποιήσουν οι επαγγελματίες του κλάδου ασφαλείας για να βρουν και να μετριάσουν κάποια πιθανή κακόβουλη δραστηριότητα.”
«Θέλουμε επίσης να διαβεβαιώσουμε τους πελάτες μας ότι δεν έχουμε εντοπίσει ευπάθειες σε προϊόντα Microsoft ή υπηρεσίες cloud» αναφέρει η εταιρεία.
Η Microsoft συνεχίζει: “Ως μέρος της τρέχουσας έρευνας για απειλές, παρακολουθούμε νέους δείκτες που θα μπορούσαν να σηματοδοτήσουν τη δραστηριότητα των επιτιθέμενων. Όπως μοιραστήκαμε πρόσφατα στην Έκθεση Ψηφιακής Άμυνας του 2020, έχουμε παραδώσει πάνω από 13.000 ειδοποιήσεις σε πελάτες που δέχτηκαν επιθέσεις από κράτη τα τελευταία δύο χρόνια και παρατηρήσαμε μια ραγδαία αύξηση των δυνατοτήτων ασφάλειας και λειτουργίας.”
Λόγω της πολυπλοκότητας των τεχνικών και των λειτουργικών δυνατοτήτων ασφάλειας των χάκερ, θέλουμε να ενθαρρύνουμε τον μεγαλύτερο έλεγχο από την ευρύτερη κοινότητα. Αν και αυτά τα στοιχεία δεν υπάρχουν σε κάθε επίθεση, αυτές οι τεχνικές αποτελούν μέρος της εργαλειοθήκης αυτού του χάκερ.
- Μια εισβολή μέσω κακόβουλου κώδικα στο προϊόν SolarWinds Orion. Αυτό έχει ως αποτέλεσμα ο εισβολέας να κερδίσει ένα βήμα στο δίκτυο, το οποίο ο εισβολέας μπορεί να χρησιμοποιήσει για να αποκτήσει αυξημένων προνομίων credentials. Το Microsoft Defender πραγματοποιεί ανιχνεύσεις για αυτά τα αρχεία.
- Ένας εισβολέας που χρησιμοποιεί δικαιώματα διαχειριστή που αποκτήθηκαν μέσω μιας παραβίασης εσωτερικής εγκατάστασης για να αποκτήσει πρόσβαση στο αξιόπιστο πιστοποιητικό σήμανσης SAML ενός οργανισμού. Αυτό τους δίνει τη δυνατότητα να πλαστογραφήσουν τα tokens SAML που πλαστοπροσωπούν οποιονδήποτε από τους υπάρχοντες χρήστες και λογαριασμούς του οργανισμού, συμπεριλαμβανομένων των λογαριασμών με ιδιαίτερα προνομιακά δικαιώματα.
- Ανώμαλες συνδέσεις χρησιμοποιώντας τα tokens SAML που δημιουργήθηκαν από ένα παραβιασμένο πιστοποιητικό υπογραφής συμβολικών στοιχείων, το οποίο μπορεί να χρησιμοποιηθεί έναντι τυχόν εσωτερικών πόρων, καθώς και έναντι οποιουδήποτε περιβάλλοντος cloud, επειδή έχουν ρυθμιστεί για να εμπιστεύονται το πιστοποιητικό. Επειδή τα tokens SAML είναι υπογεγραμμένα με το δικό τους αξιόπιστο πιστοποιητικό, οι ανωμαλίες ενδέχεται να λείπουν από τον οργανισμό.
- Χρησιμοποιώντας πολύ προνομιακούς λογαριασμούς που αποκτήθηκαν μέσω της παραπάνω τεχνικής ή με άλλα μέσα, οι εισβολείς μπορούν να προσθέσουν τα δικά τους credentials σε υπάρχοντα principals υπηρεσιών εφαρμογών, επιτρέποντάς τους να καλέσουν API με την άδεια που έχει εκχωρηθεί σε αυτήν την εφαρμογή.
Εδώ μπορείτε να δείτε τις αναλυτικές οδηγίες της εταιρείας.
Πηγή πληροφοριών: blogs.microsoft.com
