Cyberangriffe auf Active Directory sind auf dem Vormarsch und setzen AD-, Identitäts- und Sicherheitsteams unter Druck, die sich ständig verändernde AD-bezogene Bedrohungslandschaft zu überwachen. Um IT-Experten dabei zu helfen, AD-Angriffe besser zu verstehen und sich davor zu schützen, bietet das Semperis Research Team diese monatliche Übersicht über die jüngsten Cyberangriffe, bei denen Verletzungen des Identitätssystems zur Einführung oder Verbreitung von Malware genutzt wurden.
In diesem Monat beleuchtet das Semperis Research Team die Verbindung zwischen Active Directory und dem Angriff auf Microsoft Exchange Hanium sowie andere identitätsbezogene Angriffe, darunter den gestohlenen Quellcode von Mimecast, einen Angriff auf die Videoplattform Verdaka und einen Ransomware-Angriff auf den Einzelhändler FatFace.
Microsoft Exchange wurde durch gestohlene Kopien von AD-Datenbanken verletzt
Der Einbruch in Microsoft Exchange durch Hafnium zielte auf die lokalen Exchange-Server der Opfer und ermöglichte es den Angreifern, Active Directory zu kompromittieren, so Volexity. Der Angreifer konnte nicht nur Anmeldedaten ausspähen und Benutzerkonten hinzufügen, sondern auch Kopien von Active Directory-Datenbanken stehlen und auf andere Systeme und Umgebungen überwechseln.
SolarWinds-Angreifer zielten auf die AD-Systeme von Mimecast ab, um auf den Quellcode zuzugreifen
Die Angreifer, die für den Einbruch bei SolarWinds verantwortlich sind, hatten es auch auf Mimecast abgesehen. Sie stahlen ein Zertifikat, das zur Authentifizierung von Kunden verwendet wurde, und luden den Quellcode herunter. Der Angreifer verschaffte sich Zugang zur Windows-Umgebung von Mimecast und nutzte die Anmeldedaten für das Dienstkonto, um in die lokalen Systeme und Cloud-Dienste von Mimecast einzudringen, einschließlich Azure Active Directory.
Angreifer nutzten Admin-Anmeldeinformationen, um in das Verdaka-Videonetzwerk einzudringen
Die Gruppe APT-69420 Arson Cats verschaffte sich Super-Admin-Zugangsdaten, um in mehr als 150.000 Überwachungskameras einzudringen, die von Verdaka verwaltet werden, einer Softwareplattform, die Videoüberwachungskameras, Zugangskontrolllösungen und andere Technologien integriert. Nachdem sie die Zugangsdaten auf einem öffentlich zugänglichen Plugin auf dem Verdaka-Server gefunden hatten, meldeten sich die Angreifer mit erweiterten Rechten bei der Web-App des Unternehmens an und navigierten durch die Live-Videoübertragungen von Tausenden von Kameras.
Angriffsgruppe rät Opfer FatFace, AD-Richtlinien zu überprüfen
Nachdem sie ein Lösegeld in Höhe von 2 Millionen Dollar gefordert hatte, riet die Angriffsgruppe Conti ihrem Opfer, dem Modehändler FatFace, seine Active Directory-Passwortrichtlinie zu überprüfen. Conti riet FatFace außerdem, weitere Präventivmaßnahmen zu ergreifen, wie z.B. die Implementierung von E-Mail-Filtern, die Durchführung von Phishing-Tests durch die Mitarbeiter, die Investition in eine bessere Technologie zur Erkennung von und Reaktion auf Endpunkte sowie die Implementierung von Offline-Speichern und bandbasierten Backups. Die Gruppe verschaffte sich durch einen Phishing-Angriff Zugang zum Netzwerk von FatFace, erlangte allgemeine administrative Rechte und extrahierte Daten von Backup-Servern und Speichergeräten.
Mehr Ressourcen
Möchten Sie die Verteidigung Ihres Active Directory gegen Cyberangriffe stärken? Sehen Sie sich unsere neuesten Ressourcen an.
