Il Microsoft Threat Intelligence Center (MSTIC) ha rilevato attività malevole associate all’attore della minaccia tracciato come NOBELIUM, che tenta di ottenere l’accesso ai clienti a valle di più fornitori di servizi cloud (CSP), fornitori di servizi gestiti (MSP) e altre organizzazioni di servizi IT con accesso amministrativo o privilegiato da altre organizzazioni.

NOBELIUM prenderebbe di mira gli account privilegiati dei provider di servizi per spostarsi lateralmente negli ambienti cloud, sfruttando le relazioni di fiducia per ottenere l’accesso ai clienti a valle e consentire ulteriori attacchi o accedere a sistemi mirati. Questi attacchi sono il risultato di una continuazione dell’uso di NOBELIUM di un toolkit diversificato e dinamico che include malware sofisticato, password spray, attacchi alla catena di fornitura, furto di token, abuso di API e spear phishing per compromettere account utente e sfruttare l’accesso di tali account.

Negli attacchi alla catena di approvvigionamento osservati, anche i clienti a valle di fornitori di servizi e altre organizzazioni vengono presi di mira da NOBELIUM. In queste relazioni fornitore/cliente, i clienti delegano i diritti amministrativi al fornitore consentendogli di gestire i tenant del cliente come se fosse un amministratore all’interno dell’organizzazione del cliente.

Rubando credenziali e compromettendo gli account a livello di provider di servizi, NOBELIUM può sfruttare diversi potenziali vettori, inclusi i privilegi amministrativi delegati (DAP), e quindi sfruttare tale accesso per estendere gli attacchi a valle attraverso canali affidabili come VPN rivolte all’esterno o soluzioni uniche fornitore-cliente che consentono l’accesso alla rete.

Questa campagna è stata osservata contro organizzazioni con sede negli Stati Uniti e in tutta Europa dal maggio 2021. MSTIC valuta che NOBELIUM ha lanciato una campagna contro queste organizzazioni per sfruttare le relazioni di fiducia tecnica esistenti tra le organizzazioni fornitrici e i governi, i think tank e altre aziende che servono.

 

https://www.microsoft.com/security/blog/2021/10/25/nobelium-targeting-delegated-administrative-privileges-to-facilitate-broader-attacks/

Twitter
Visit Us
LinkedIn
Share
YOUTUBE