Cyberangriffe auf Active Directory sind auf dem Vormarsch und setzen AD-, Identitäts- und Sicherheitsteams unter Druck, die sich ständig verändernde, auf AD ausgerichtete Bedrohungslandschaft zu überwachen. Um IT-Experten dabei zu helfen, AD-Angriffe besser zu verstehen und sich davor zu schützen, bietet das Semperis Research Team diese monatliche Zusammenfassung der jüngsten Cyberangriffe, bei denen AD zur Einführung oder Verbreitung von Malware genutzt wurde.
Diesen Monat hebt das Semperis Research Team die Warnungen von Microsoft vor der neuen Prestige-Ransomware-Kampagne, weiteren Hive-Aktivitäten und neuen Exchange Server Zero-Day-Angriffen hervor.
Microsoft warnt vor Prestige-Ransomware
Das Microsoft Threat Intelligence Center (MSTIC) warnt vor einer neuartigen Ransomware-Kampagne gegen Transport- und Logistikunternehmen in der Ukraine und Polen. Die Angreifer nutzen den Zugang zu hoch privilegierten Anmeldeinformationen, wie z.B. Domänenadministrator, um die Malware zu verbreiten, indem sie u.a. die Ransomware-Nutzlast auf einen Active Directory-Domänencontroller kopieren und über das Standard-Domänengruppenrichtlinienobjekt bereitstellen.
Die Ransomware-Gruppe Hive trifft das indische Energieunternehmen Tata Power
Die Ransomware-Gruppe Hive hat die Verantwortung für einen Cyberangriff auf das indische Energieunternehmen Tata Power übernommen, bei dem IT-Systeme kompromittiert und gestohlene Mitarbeiterdaten entwendet wurden. Neben anderen Taktiken verwendet Hive, das sich auch zu dem jüngsten Angriff auf die Regierung von Costa Rica bekannte, Remote-Admin-Software, um Systeme zu infiltrieren und Persistenz herzustellen, und setzt dann Tools wie ADRecon ein, um die AD-Umgebung abzubilden.
Microsoft warnt vor neuen Exchange Server Zero-Day-Angriffen
Angreifer nutzen neue Zero-Day-Schwachstellen, um Netzwerke zu kompromittieren und Daten zu stehlen, indem sie sich Zugang zu internen Diensten verschaffen und Remote-Code ausführen. Die Schwachstellen ermöglichen den Angreifern einen "Hands-on-Keyboard-Zugang", mit dem sie Active Directory ausspähen können.
LockBit Ransomware-Gruppe zielt auf britischen Autohändler Pendragon
Die LockBit Ransomware-Bande ist in die Pendragon Group eingedrungen, die 200 Autohäuser in Großbritannien besitzt. Angeblich hat sie einige Daten gestohlen, konnte aber kein Lösegeld von Pendragon erpressen. Die LockBit-Gruppe verwendet verschiedene Taktiken, Techniken und Verfahren (TTPs), um Opferorganisationen zu kompromittieren, einschließlich des Missbrauchs von AD-Gruppenrichtlinien, um Geräte in Windows-Domänen zu verschlüsseln.
Weitere Ressourcen
