Microsoft, Apple против Китая, субъекты шпионского ПО
9 сентября 2023 г.Разоблачения, сделанные на этой неделе Microsoft и Apple, говорят о стойкости киберугроз, подобной COVID, и о способности злоумышленников адаптироваться в дикой природе, красть учетные данные и обходить патчи.
На этой неделе Microsoft объяснила, как она обнаружила и попыталась укрепить оборону перед лицом государственных субъектов (с помощью вредоносного ПО Microsoft, получившего название Cigril), в то время как Apple сосредоточилась на исправлениях, предназначенных для устранения воздействия шпионского ПО Pegasus на мобильные устройства в нулевой день.
СМОТРИТЕ: Загрузка неопубликованных DLL и атаки CVE демонстрируют разнообразие угроз (TechRepublic)
Microsoft запечатывает двери от Storm-0558
Связанный с Китаем актер Storm-0558 в начале этого года получил доступ к высокопоставленным чиновникам Государственного департамента и Министерства торговли США благодаря учетным данным, украденным из корпоративного аккаунта инженера Microsoft два года назад, о чем компания описала в сообщении ранее на этой неделе.
Microsoft объяснила, как сбой системы подписи потребителей в апреле 2021 года, в результате которого был создан снимок сбойного процесса или «аварийный дамп», предоставил участникам доступ к учетным данным.
В Microsoft заявили: «Аварийные дампы, которые редактируют конфиденциальную информацию, не должны включать ключ подписи. В этом случае состояние гонки позволило ключу присутствовать в аварийном дампе. Присутствие ключевого материала на свалке не было обнаружено нашими системами».
Microsoft заявила, что злоумышленники подделали токены аутентификации для доступа к электронной почте пользователя, используя «полученный» ключ подписи потребителя учетной записи Microsoft. «Microsoft завершила борьбу с этой атакой для всех клиентов», — заявили в компании.
Компания заявила, что усилила меры по предотвращению, обнаружению и реагированию на учетные материалы; улучшенное сканирование учетных данных для лучшего обнаружения наличия ключей подписи в среде отладки; выпустили расширенные библиотеки для автоматизации проверки объема ключей в библиотеках аутентификации; и уточнена соответствующая документация.
Microsoft о том, как Storm-0558 подделывал токены
Microsoft, которая отслеживала злоумышленников в течение многих лет, в июле 2023 года сообщила подробности о том, как Storm-0558 получил доступ к учетным записям электронной почты примерно 25 организаций, включая правительственные учреждения, и связанным с ними потребительским учетным записям лиц, вероятно, связанных с этими организациями. Злоумышленники использовали полученный потребительский ключ учетной записи Microsoft для подделки токенов для доступа к OWA и Outlook.com.
В исполнительном анализе, проведенном Microsoft Threat Intelligence, исследователи написали, что начиная с 15 мая 2023 года Storm-0558 использовал поддельные токены аутентификации для доступа к электронной почте пользователей.
«[Microsoft] успешно заблокировала эту кампанию от Storm-0558», — сообщила служба Microsoft Threat Intelligence. «Как и в случае с любой наблюдаемой деятельностью субъектов национального уровня, Microsoft напрямую уведомила целевых или скомпрометированных клиентов, предоставив им важную информацию, необходимую для защиты их среды».
Авторы далее заявили, что они определили основную причину, установили надежное отслеживание кампании, пресекли вредоносную деятельность, укрепили среду, уведомили каждого пострадавшего клиента и координировали свои действия с несколькими государственными органами.
Мышление нулевого доверия против уязвимостей
Microsoft, которая открыто заявляет о прозрачности в борьбе с атаками, заявила, что работает над ужесточением своих протоколов безопасности. В только что завершившемся обзоре Storm-0558 команда безопасности компании отметила, что ее электронная почта, конференции, веб-исследования и другие инструменты совместной работы могут сделать пользователей уязвимыми для целевого фишинга, вредоносных программ, кражи токенов и других атак.
«По этой причине — в соответствии с политикой и в рамках нашего подхода к нулевому доверию и предположению о нарушении — ключевые материалы не должны покидать нашу производственную среду», — заявили в Microsoft.
Тед Миракко, генеральный директор Approov Mobile Security, сказал, что две наиболее тревожные особенности отчета заключаются в том, что Storm-0558 может подделывать токены для доступа к учетным записям электронной почты высокопоставленных чиновников и что нарушение продолжалось в течение многих лет, не будучи обнаружено.
«Это может привести к вопросу: сколько других учетных записей сегодня скомпрометировано с помощью поддельных токенов, и как вы собираетесь идентифицировать дополнительные скомпрометированные учетные записи?» - сказал Миракко. «Результаты подтверждают, что необходима постоянная бдительность, чтобы опережать изощренных злоумышленников, а ключи и токены необходимо часто менять, чтобы предотвратить постоянный доступ к скомпрометированным учетным записям».
Несколько уровней безопасности имеют решающее значение для борьбы с многочисленными угрозами.
Пит Николетти, глобальный директор по информационной безопасности компании Check Point Software, добавил, что этот инцидент подчеркивает настоятельную необходимость для компаний внедрить как несколько уровней безопасности, так и надежные механизмы мониторинга.
«Проверка того, кто имеет доступ к криптографическим ключам, также имеет решающее значение для каждой компании», — сказал Николлети. «Кроме того, компаниям крайне важно использовать инструменты безопасности, которые остаются скрытыми от поиска MX, дополненные инструментом конечной точки, предназначенным для предотвращения последующих этапов атаки».
Николлети сказал, что предприятия должны активно защищаться от несанкционированного доступа к ключам после потенциального взлома электронной почты компании. «В CheckPoint мы решительно выступаем за внедрение специализированной системы управления ключами, которая обеспечивает дополнительные требования к аутентификации, работает в изолированной автономной сети и поддерживает методы бдительного мониторинга доступа».
Apple выпустила патчи против Pegasus, продолжающийся тет-а-тет с NSO Group
На следующий день после объяснений Microsoft Apple выпустила экстренный выпуск программных исправлений для исправления пары уязвимостей нулевого дня, которые, как сообщается, использовались для атаки на жертву с помощью шпионского ПО Pegasus группы NSO. Компания Pegasus печально известна, среди прочего, тем, что правительство Саудовской Аравии использовало ее для отслеживания и убийства журналиста Джамаля Хашогги. Сообщается, что эти две новые уязвимости являются тринадцатой уязвимостью Apple «нулевого дня» в этом году.
SEE: Базирующиеся в Израиле злоумышленники демонстрируют растущую изощренность атак по электронной почте (TechRepublic)
Цепочка убийств может затронуть даже самые современные iPhone (iOS 16.6), при этом жертве придется поддаться социальной инженерии. Apple заявила, что CVE оставила некоторые мобильные устройства Apple, включая iPhone, Apple Watch, Mac и iPad, открытыми для атак. В Apple заявили, что цепочка атак нацелена на инфраструктуру ввода-вывода изображений. Вторая уязвимость в функции «Кошелек» делает устройство уязвимым для атак со стороны «злонамеренно созданного вложения».
Патчи для iOS, iPadOS, watchOS, macOS и Ventura — это последняя попытка надеть кандалы на Pegasus, который изначально задумывался как правительственный инструмент для израильской слежки.
Рик Холланд, директор по информационной безопасности ReliaQuest, сказал, что новые патчи являются последними в продолжающейся схватке.
«Я уверен, что это обновление связано с уязвимостями нулевого щелчка, которые использует группа NSO», — сказал Холланд. «Apple уже много лет играет в кошки-мышки с группой NSO. Исследователи выявляют уязвимость, Apple исправляет ее, группа NSO разрабатывает новые эксплойты, и цикл начинается снова».
Оригинал