为了攻破网络,他们会以一个未注册且未激活的账号暴力破解密码攻击中泄露的证书。通常,他们使用的账户是机构组织的活动目录中尚未禁用的。
“由于Duo的默认配置允许休眠账户重新注册新设备,所以攻击者能够为账户注册新设备,完成认证要求,并获得访问受害者网络的权限”, 联邦机构解释道,“由于长期不活动,受害者帐户已从Duo注销,但在活动目录中未被禁用。”
攻击的下一步是在修改域控制器文件后,通过将所有Duo MFA接入重定向到本地主机而不是Duo服务器来禁用MFA服务。这就使得他们能够以非管理员用户身份验证到非政府组织的虚拟专用网络(VPN),通过远程桌面协议(RDP)连接到Windows域控制器,并获得其他域帐户的凭证。
在这些被盗账户的帮助下,攻击者们能够在没有MFA执行的情况下横向移动,访问云存储和电子邮件账户,并窃取数据。
对此,FBI和CISA今天在一份联合网络安全咨询中给组织机构提供了以下缓解措施:
- 执行MFA并检查配置策略,以防止“失败打开”和重新注册场景。
- 确保跨Active Directory和MFA系统统一禁用不活跃帐户。
- 给所有系统打补丁,优先为已知被利用的漏洞打补丁。
另外,FBI和CISA在联合报告中也分享了关于战术、技术和程序(TTPs)、妥协指标(ioc)和防止这种恶意活动的额外建议信息。
其实,此前就有联合报告向美国政府发出警告,称俄罗斯国家黑客在近期会攻击支持陆军、空军、海军、太空部队、国防部和情报项目的美国国防承包商。包括APT29、APT28和沙虫团队(Sandworm Team)在内的俄罗斯黑客组织一直对美国关键基础设施部门的组织虎视眈眈。
参考来源:https://www.bleepingcomputer.com/news/security/fbi-warns-of-mfa-flaw-used-by-state-hackers-for-lateral-movement/
