Microsoft meldt supplychain-aanval op klanten van cloudproviders

[Captain Kirk]

Een spionagegroep genaamd Silk Typhoon heeft bij meerdere cloudproviders ingebroken om vervolgens de klanten van deze bedrijven aan te vallen, zo beweert Microsoft. De groep maakt volgens een vandaag verschenen analyse van het techbedrijf gebruik van allerlei methodes om aanvallen uit te voeren. Het gaat dan om misbruik van kwetsbaarheden in edge devices waarvoor nog geen update beschikbaar is, password spraying, het gebruik van wachtwoorden in repositories en supplychain-aanvallen.

Microsoft stelt dat het eind vorig jaar zag dat de groep gebruikmaakte van gestolen API keys en credentials van niet nader genoemde privilege access management (PAM), cloud app providers en cloud data management bedrijven om klanten van deze bedrijven aan te vallen. Daarbij heeft de groep het vooral voorzien op overheden en it-bedrijven, aldus Microsoft. Zodra er toegang is verkregen stelen de aanvallers allerlei gegevens, resetten het standaard admin-account, installeren webshells, maken aanvullende gebruikers aan en schonen logbestanden op.

In het geval de on-premises omgeving is gecompromitteerd bewegen de aanvallers zich vaak ook naar de cloudomgeving. Zo dumpen aanvallers de Active Directory, stelen wachtwoorden in wachtwoordkluizen en verhogen hun rechten. De aanvallers hebben onder andere Microsoft AADConnect-servers aangevallen. AADConect (dat nu bekendstaat als Entra Connect) is een tool die de on-premises Active Directory met Entra ID synchroniseert. Wanneer een aanvaller één van deze servers weet te compromitteren kan de aanvaller zijn rechten verhogen, toegang tot zowel de on-premises als cloudomgevingen krijgen en zich lateraal bewegen.

In de analyse doet Microsoft verschillende aanbevelingen, waaronder ervoor zorgen dat on-premises service-accounts geen directe rechten tot cloud resources hebben, om zo te voorkomen dat de aanvallers zich lateraal naar de cloud kunnen bewegen. Verder wordt aangeraden om logs met betrekking tot Entra Connect-servers op verdachte activiteiten te controleren, alsmede naar nieuw aangemaakte gebruikers op edge devices te zoeken.

 

bron: https://www.security.nl