I cyberattacchi che prendono di mira Active Directory sono in aumento, mettendo sotto pressione i team che si occupano di AD, identità e sicurezza per monitorare il panorama delle minacce incentrate sull'AD in continuo cambiamento. Per aiutare i professionisti IT a comprendere meglio e a difendersi dagli attacchi che coinvolgono l'AD, il team di ricerca di Semperis offre questa carrellata mensile di recenti cyberattacchi che hanno utilizzato le violazioni dei sistemi di identità per introdurre o diffondere malware.
Questo mese, il team di ricerca di Semperis evidenzia la connessione di Active Directory all'attacco Microsoft Exchange Hanium e ad altri attacchi legati all'identità, tra cui il furto del codice sorgente di Mimecast, la violazione della piattaforma video Verdaka e l'attacco ransomware al rivenditore FatFace.
La violazione di Microsoft Exchange ha coinvolto copie rubate di database AD
Secondo Volexity, la violazione di Microsoft Exchange da parte di Hafnium ha preso di mira i server Exchange on-premises delle aziende vittime e ha permesso agli aggressori di compromettere Active Directory. Oltre a condurre operazioni di dump delle credenziali e di aggiunta di account utente, l'aggressore è stato in grado di rubare copie dei database di Active Directory e di spostarsi lateralmente verso altri sistemi e ambienti.
Gli aggressori di SolarWinds hanno preso di mira i sistemi AD di Mimecast per accedere al codice sorgente
Gli aggressori responsabili della violazione di SolarWinds hanno preso di mira anche Mimecast, rubando un certificato utilizzato per l'autenticazione dei clienti e scaricando il codice sorgente. L'attore della minaccia ha avuto accesso all'ambiente Windows di Mimecast e ha utilizzato le credenziali dell'account di servizio per violare i sistemi on-premises e i servizi cloud di Mimecast, compresa Azure Active Directory.
Gli aggressori hanno usato le credenziali di amministrazione per violare la rete video Verdaka
Il gruppo APT-69420 Arson Cats ha avuto accesso a credenziali di super amministratore per violare più di 150.000 telecamere di sorveglianza gestite da Verdaka, una piattaforma software che integra telecamere di videosorveglianza, soluzioni di controllo degli accessi e altre tecnologie. Dopo aver trovato le credenziali in un plugin esposto pubblicamente sul server di Verdaka, gli aggressori hanno effettuato l'accesso all'applicazione web dell'azienda con privilegi elevati e hanno navigato tra i feed video in diretta di migliaia di telecamere.
Il gruppo di attacco consiglia alla vittima FatFace di rivedere le politiche AD
Dopo aver chiesto un riscatto di 2 milioni di dollari, il gruppo di attacco Conti ha consigliato alla sua vittima, il rivenditore di moda FatFace, di rivedere la propria politica sulle password di Active Directory. Conti ha inoltre consigliato a FatFace di implementare altre misure preventive, come l'implementazione di un filtro per le e-mail, l'esecuzione di test di phishing per i dipendenti, l'investimento in una migliore tecnologia di rilevamento e risposta degli endpoint e l'implementazione di storage offline e backup su nastro. Il gruppo ha avuto accesso alla rete di FatFace tramite un attacco di phishing, ha ottenuto diritti amministrativi generali e ha estratto i dati dai server di backup e dai dispositivi di archiviazione.
Altre risorse
Volete rafforzare le difese della vostra Active Directory contro i cyberattacchi? Consultate le nostre ultime risorse.
