Nobelium, l' attore delle minacce dietro il compromesso di SolarWinds nel dicembre 2020, è stato dietro a una nuova ondata di attacchi che ha compromesso 14 clienti a valle di più fornitori di servizi cloud (CSP), fornitori di servizi gestiti (MSP) e altre organizzazioni di servizi IT, illustrando il il continuo interesse dell'avversario a prendere di mira la catena di approvvigionamento attraverso l'approccio "compromesso uno a molti".
Microsoft, che lunedì ha rivelato i dettagli della campagna, ha dichiarato di aver informato più di 140 rivenditori e fornitori di servizi tecnologici da maggio. Tra il 1 luglio e il 19 ottobre 2021, si dice che Nobelium abbia individuato 609 clienti, che sono stati attaccati collettivamente per un totale di 22.868 volte.
"Questa recente attività è un altro indicatore del fatto che la Russia sta cercando di ottenere un accesso sistematico e a lungo termine a una varietà di punti della catena di approvvigionamento tecnologico e di stabilire un meccanismo per sorvegliare, ora o in futuro, obiettivi di interesse per il governo russo, " ha affermato Tom Burt, vicepresidente aziendale per la sicurezza e la fiducia dei clienti di Microsoft.
Gli attacchi appena divulgati non sfruttano alcuna debolezza specifica della sicurezza nel software, ma sfruttano piuttosto una vasta gamma di tecniche come la spruzzatura di password, il furto di token, l'abuso di API e lo spear-phishing per sottrarre le credenziali associate agli account privilegiati dei fornitori di servizi, consentendo agli aggressori per spostarsi lateralmente in ambienti cloud e montare ulteriori intrusioni.
L'obiettivo, secondo Microsoft, sembra che "Nobelium in definitiva spera di sfruttare qualsiasi accesso diretto che i rivenditori potrebbero avere ai sistemi IT dei propri clienti e impersonare più facilmente il partner tecnologico di fiducia di un'organizzazione per ottenere l'accesso ai propri clienti a valle".
Semmai, gli attacchi sono l'ennesima manifestazione delle tattiche spesso ripetute di Nobelium, che è stata trovata nell'abuso delle relazioni di fiducia di cui godono i fornitori di servizi per scavare in più vittime di interesse per ottenere informazioni. Come mitigazione, la società raccomanda alle aziende di abilitare l'autenticazione a più fattori (MFA) e di controllare i privilegi amministrativi delegati (DAP) per prevenire qualsiasi potenziale uso improprio di autorizzazioni elevate.
Lo sviluppo arriva anche meno di un mese dopo che il gigante della tecnologia ha rivelato una nuova backdoor passiva e altamente mirata soprannominata " FoggyWeb " implementata dal gruppo di hacker per fornire payload aggiuntivi e rubare informazioni sensibili dai server Active Directory Federation Services (ADFS).
Microsoft, che lunedì ha rivelato i dettagli della campagna, ha dichiarato di aver informato più di 140 rivenditori e fornitori di servizi tecnologici da maggio. Tra il 1 luglio e il 19 ottobre 2021, si dice che Nobelium abbia individuato 609 clienti, che sono stati attaccati collettivamente per un totale di 22.868 volte.
"Questa recente attività è un altro indicatore del fatto che la Russia sta cercando di ottenere un accesso sistematico e a lungo termine a una varietà di punti della catena di approvvigionamento tecnologico e di stabilire un meccanismo per sorvegliare, ora o in futuro, obiettivi di interesse per il governo russo, " ha affermato Tom Burt, vicepresidente aziendale per la sicurezza e la fiducia dei clienti di Microsoft.
Gli attacchi appena divulgati non sfruttano alcuna debolezza specifica della sicurezza nel software, ma sfruttano piuttosto una vasta gamma di tecniche come la spruzzatura di password, il furto di token, l'abuso di API e lo spear-phishing per sottrarre le credenziali associate agli account privilegiati dei fornitori di servizi, consentendo agli aggressori per spostarsi lateralmente in ambienti cloud e montare ulteriori intrusioni.
L'obiettivo, secondo Microsoft, sembra che "Nobelium in definitiva spera di sfruttare qualsiasi accesso diretto che i rivenditori potrebbero avere ai sistemi IT dei propri clienti e impersonare più facilmente il partner tecnologico di fiducia di un'organizzazione per ottenere l'accesso ai propri clienti a valle".
Semmai, gli attacchi sono l'ennesima manifestazione delle tattiche spesso ripetute di Nobelium, che è stata trovata nell'abuso delle relazioni di fiducia di cui godono i fornitori di servizi per scavare in più vittime di interesse per ottenere informazioni. Come mitigazione, la società raccomanda alle aziende di abilitare l'autenticazione a più fattori (MFA) e di controllare i privilegi amministrativi delegati (DAP) per prevenire qualsiasi potenziale uso improprio di autorizzazioni elevate.
Lo sviluppo arriva anche meno di un mese dopo che il gigante della tecnologia ha rivelato una nuova backdoor passiva e altamente mirata soprannominata " FoggyWeb " implementata dal gruppo di hacker per fornire payload aggiuntivi e rubare informazioni sensibili dai server Active Directory Federation Services (ADFS).
Commenti
Posta un commento