正文

【供应链安全】Nobelium 组织针对全球的IT公司

admin
admin V管理员 /0 评论 /31 阅读
1217
此篇文章发布距今已超过25天,您需要注意文章的内容或图片是否可用!

0x00 风险概述

2021年10月25日,微软威胁情报中心公开分享了对NOBELIUM活动的分析和应对措施,目前NOBELIUM组织仍在针对全球 IT公司发起攻击活动,这次攻击主要针对云服务运营商 (CSP)、托管服务提供商 (MSP)和其他 IT 服务机构。

0x01 攻击详情

Nobelium也被称为 APT29、Cozy Bear 和The Dukes等,同时它也是去年 SolarWinds 事件背后的攻击者。微软表示,自 2021 年 5 月以来,已有140家托管服务运营商 (MSP) 和云服务提供商遭到Nobelium的攻击,其中至少有 14 家被入侵。

NOBELIUM使用多样化和动态工具包,其中包括复杂的恶意软件、密码喷洒、供应链攻击、令牌盗窃、API 滥用和鱼叉式网络钓鱼,以危害用户账户并利用这些账户的访问权限

这些新攻击的主要目标是为客户部署和管理云服务的服务提供商和类似技术经销商和技术服务提供商。微软在发现这些攻击后通知了受影响的组织并在其威胁保护产品中增加了检测功能。据微软表示,自 7 月以来,超过 600 个Microsoft 客户成为此次活动的目标,并被 Nobelium 攻击了 22,868 次,但成功率不高;相比之下,在 2021 年 7 月之前,微软在过去三年中向客户通知来自所有国家支持的攻击次数为 20,500 次。

图1:NOBELIUM入侵示例,展示了各种方法的嵌套访问

这表明,Nobelium 仍在尝试发起类似于他们在破坏 SolarWinds 系统后发起的攻击,以获得对感兴趣目标系统的长期访问权限并建立后门。此外,微软还分享了 MSP、云服务提供商和其他技术组织可以采取的应对措施,以保护其网络和客户免受正在进行的Nobelium 攻击。

Nobelium是一个持续活动的恶意组织。今年年初,微软详细介绍了三种用于在受感染网络上保持持久性的恶意软件:一种名为GoldMax的命令和控制后门,一种名为GoldFinder的 HTTP 跟踪工具,一种名为Sibot的持久性工具和恶意软件投放器。两个月后,他们披露了Nobelium在其攻击中使用的另外四个恶意软件系列:一个被称为 BoomBox 的恶意软件下载器,一个被称为VaporRage 的shellcode下载器和启动器,一个被称为EnvyScout 的恶意HTML附件,以及一个被称为 NativeZone 的加载器。5 月,微软威胁情报中心报告了Nobelium针对 24个国家/地区的政府机构的网络钓鱼活动。

0x02 风险等级

高危。

0x03 影响范围

全球IT行业

0x04 安全建议

目前微软已经分享了相关应对措施。建议云服务运营商、相关技术组织以及组织的下游客户审查并实施以下操作,以帮助缓解和防御最近的 NOBELIUM 活动。

针对云服务提供商或组织

1.遵守Microsoft 合作伙伴中心安全要求。

  • 确保使用多因素身份验证 (MFA) 并强制执行条件访问策略。

  • 采用安全应用程序模型框架。

  • 查看合作伙伴中心活动日志。

2.不使用时删除委派管理权限 (DAP) 连接。

3.深入调查,综合应对。

针对下游客户

1. 审查、审计和最小化访问权限和委派权限。

  • 检查、强化和监控所有租户管理员账户。

  • 查看来自 B2B 和本地账户的服务提供商权限访问。

2.验证多因素身份验证 (MFA) 已启用并强制执行条件访问策略。

3.查看和审计日志和配置。

  • 查看和审核 Azure AD 登录和配置更改。

  • 查看现有的日志可用性和保留策略。

此外,Azure Sentinel、AzureDefender、Microsoft 365 Defender和Microsoft Cloud App Security的相关用户可以通过微软分享的高级狩猎查询进行检测和调查NOBELIUM活动。微软观察到的Nobelium活动的行为和 TTP如下,它们是NOBELIUM 入侵的常见行为,应在调查期间仔细审查,以帮助确定组织是否受到影响:

  • NOBELIUM利用"匿名"基础设施,其中可能包括低信誉代理服务、云托管服务和TOR,来验证受害者的身份。

  • 已经观察到NOBELIUM利用脚本功能,包括但不限于RoadTools或AADInternals,来对Azure AD进行枚举,这可能会导致对脚本环境的用户代理进行身份验证。

  • 已经观察到 NOBELIUM 对来自异常位置的账户进行身份验证,这些位置可能会触发不可能的旅行分析或无法通过部署的条件访问策略。

  • 已经观察到NOBELIUM修改了AzureAD,以实现对敏感信息的长期持久性和访问。这可能包括创建用户、同意Azure AD应用程序、向用户和应用程序授予角色、创建其它的服务主体凭证等。更多信息见https://aka.ms/nobelium

  • 在一次事件中,MSTIC观察到AzureRunCommand与Azure admin-on-behalf-of(AOBO)的使用,作为一种获取虚拟机访问权限并将访问权限从云转移到本地的技术。

  • NOBELIUM 已经表现出对针对特权用户(包括全局管理员)的持续兴趣。通过优先处理在特权账户上检测到的事件,可以大大增强组织的安全性。

  • 经常观察到 NOBELIUM 进行与情报收集一致的活动。定期监控各种日志源,以发现与数据渗出相一致的异常情况,可以作为入侵的早期预警。

  • 以前被 NOBELIUM 攻击的组织可能会遇到重复性活动,并将从对新攻击实施的主动监控中受益。

0x05 参考链接

https://www.microsoft.com/security/blog/2021/10/25/nobelium-targeting-delegated-administrative-privileges-to-facilitate-broader-attacks/

https://www.bleepingcomputer.com/news/microsoft/microsoft-russian-svr-hacked-at-least-14-it-supply-chain-firms-since-may/

0x06 版本信息

版本

日期

修改内容

V1.0

2021-10-26

首次发布

0x07 关于我们

关注以下公众号,获取更多资讯:


推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
ZhouSa.com-周飒博客