Cyberangriffe auf Active Directory (AD) sind auf dem Vormarsch und setzen AD-, Identitäts- und Sicherheitsteams unter Druck, die sich ständig verändernde, auf AD ausgerichtete Bedrohungslandschaft zu überwachen. Um IT-Experten dabei zu helfen, Angriffe auf AD besser zu verstehen und sich davor zu schützen, bietet das Semperis Research Team diese monatliche Zusammenfassung der jüngsten Cyberangriffe, bei denen AD zur Einführung oder Verbreitung von Malware genutzt wurde.
In diesem Monat stellt das Semperis Research Team neue Informationen über die jüngsten identitätsbezogenen Angriffe vor, darunter die HermeticWiper-Angriffe auf ukrainische Organisationen, die Social-Engineering-Kampagne Lapsus$ (auch bekannt als Dev-0537) und die AvosLocker-Angriffe auf kritische Infrastrukturziele.
Angreifer verschafften sich AD-Zugang und setzten HermeticWiper bei Angriffen auf ukrainische Organisationen ein
In einer monatelang geplanten Kampagne verschafften sich die Bedrohungsakteure Zugang zu AD-Servern und installierten die HermeticWiper-Malware über die Standard-Domänenrichtlinie.
Lapsus$ alias Dev-0537 nutzt Social Engineering und Erpressung, um auf Informationssysteme zuzugreifen
Durch Social Engineering und Erpressung nutzte die Ransomware-Gruppe Lapsus$ (Dev-0537) kompromittierte Anmeldedaten, um auf die Informationssysteme von Unternehmen zuzugreifen, einschließlich Identitätsanbieter wie Azure Active Directory und Okta.
Ransomware-Dienst AvosLocker zielt auf kritische Infrastrukturen
Die Ransomware-as-a-Service-Gruppe AvosLocker nutzte verschiedene Methoden, um Domänen-Administratorrechte für die AD-Konten der Opfer zu erlangen, und zielte damit auf mehrere Organisationen in kritischen Infrastrukturbereichen ab, darunter Regierungsorganisationen, Fertigungsbetriebe und Finanzdienstleister.
LockBit 2.0 übernimmt Verantwortung für Bridgestone-Angriff
Die Ransomware-as-a-Service-Gruppe LockBit 2.0 hat sich kürzlich zu Angriffen auf den japanischen Automobilzulieferer Bridgestone bekannt. LockBit verwendet verschiedene Taktiken, Techniken und Verfahren (TTPs), um Opferorganisationen zu kompromittieren, einschließlich des Missbrauchs von AD-Gruppenrichtlinien, um Geräte in Windows-Domänen zu verschlüsseln.
CISA erneuert PrintNightmare-Patch und MFA-Konfigurationswarnungen
Die Agentur für Cybersicherheit und Infrastruktursicherheit (CISA) hat in einer gemeinsamen Mitteilung mit dem FBI neue Warnungen herausgegeben, dass russische Hacker aktiv ungepatchte Schwachstellen wie PrintNightmare und riskante Praktiken wie nicht durchgesetzte MFA-Richtlinien ausnutzen, um sich Zugang zu Netzwerken zu verschaffen und Malware einzusetzen.
Weitere Ressourcen
