29 oktober 2021

Microsoft waarschuwt voor gerichte cyber aanvallen

Het Microsoft Threat Intelligence Center (MSTIC) heeft cyber aanvallen gedetecteerd die in verband worden gebracht met de hacker groep die gekend staat als Nobelium. Dit is dezelfde groep die Solarwinds getarget had eind 2020.

Nobelium heeft ondertussen reeds meerdere cloud service providers (CSP), managed service providers (MSP) en andere IT-dienstverlenende organisaties aangevallen.

Deze zeer gerichte activiteit is waargenomen tegen organisaties gevestigd in de Verenigde Staten en in heel Europa en dit sinds mei 2021. MSTIC beoordeelt dat Nobelium een campagne tegen deze organisaties is gestart om bestaande technische zwakheden uit te buiten tussen de providerorganisaties en de overheden, denktanks en andere bedrijven die zij viseren.

Deze aanvallen zijn niet het resultaat van een kwetsbaarheid in de productbeveiliging, maar veeleer een voortzetting van het gebruik door Nobelium van een diverse en dynamische toolkit die geavanceerde malware, password sprays, aanvallen op de toeleveringsketen, tokendiefstal, API-misbruik en spear phishing omvat, om gebruikersaccounts in gevaar te brengen en de toegang tot die accounts te misbruiken.

In een beveiligingsinbreuk die tijdens deze campagne door MSTIC werd waargenomen, werd er vastgesteld dat toegang bij vier verschillende providers werd gebruikt zodat Nobelium zijn einddoel kon bereiken. Het voorbeeld demonstreert de breedte van de technieken die deze partij gebruikt om vertrouwensrelaties uit te buiten en te misbruiken om hun uiteindelijk doel te bereiken:

Example intrusion conducted by NOBELIUM demonstrating nested access across variety of methods

In Microsoft’s Security Blog hieromtrent kan u nalezen hoe u als klant, partner en/of service provider een aantal zaken kunt nakijken in onder andere Microsoft Partner Center, (Azure) AD, Microsoft 365. Kijk ook zeker jullie algemene security policies na zoals GPO instellingen, Privileged Accounts en MFA.