Le nouveau Nobelium attaque un rappel d’assister aux cyber-bases

Une nouvelle campagne d’activités malveillantes du même groupe de cybercriminels qui a causé des perturbations généralisées après avoir pénétré les systèmes de diverses organisations via une mise à niveau corrompue à la plateforme SolarWinds Orion sert de rappel aux défenseurs que les acteurs malveillants restent très motivés pour rechercher de nouveaux vecteurs d’attaque alors que leurs anciens sont fermés.

La nouvelle de la campagne est apparue pour la première fois juste avant le week-end du 26-27 juin 2021, lorsque le Threat Intelligence Center de Microsoft a publié une nouvelle annonce de divulgation révélant qu’il suivait l’activité provenant du groupe SolarWinds – auquel il attribue le nom Nobelium – exploitant les capacités de support de Microsoft.

Microsoft a révélé que dans le cadre de son enquête sur la nouvelle activité Nobelium, il a trouvé des logiciels malveillants voleurs d’informations sur une machine appartenant à l’un de ses agents de support client qui avait accès aux informations de compte de base sur certains clients.

«L’acteur a utilisé ces informations dans certains cas pour lancer des attaques très ciblées dans le cadre de leur campagne plus large. Nous avons réagi rapidement, supprimé l’accès et sécurisé l’appareil », a déclaré l’équipe Microsoft.

« L’enquête est en cours, mais nous pouvons confirmer que nos agents d’assistance sont configurés avec l’ensemble minimal d’autorisations requises dans le cadre de notre approche « accès le moins privilégié » sans confiance aux informations client. Nous informons tous les clients concernés et les aidons à garantir la sécurité de leurs comptes. »

Microsoft a déclaré avoir pris conscience de la compromission par Nobelium du système de son personnel après avoir suivi une série d’attaques grossières et pour la plupart infructueuses impliquant des tentatives de pulvérisation de mot de passe et attaques par force brute. Il estime que trois organisations ont été compromises.

“Ce type d’activité n’est pas nouveau, et nous continuons de recommander à chacun de prendre des précautions de sécurité telles que l’activation de l’authentification multifacteur pour protéger leurs environnements contre cette attaque et des attaques similaires”, a déclaré Microsoft. “Cette activité renforce l’importance des meilleures pratiques de sécurité telles que l’architecture de confiance zéro et l’authentification multifacteur et leur importance pour tout le monde.”

L’équipe du renseignement a déclaré que l’activité était clairement dirigée vers des secteurs spécifiques, principalement des entreprises technologiques et informatiques, des organismes gouvernementaux et un petit nombre d’organisations non gouvernementales (ONG), de groupes de réflexion et d’organisations de services financiers. Près de la moitié des tentatives d’attaques visaient des organisations basées aux États-Unis, environ 10 % au Royaume-Uni et un plus petit nombre au Canada et en Allemagne.

Ilia Kolochenko de ImmuniWeb a déclaré que l’exposition de la campagne de Nobelium était une preuve convaincante que l’hygiène globale de la cybersécurité est, dans une certaine mesure, déficiente.

« Les attaques par pulvérisation de mots de passe et par bourrage d’informations d’identification sont évitables en activant l’authentification multifacteur, en restreignant l’accès aux comptes de réseaux spécifiques ou au moins de pays, et peuvent être facilement détectées par les systèmes de détection d’anomalies », a-t-il déclaré. « De plus, un processus de surveillance du dark web correctement mis en œuvre devrait alerter rapidement les organisations des informations d’identification volées à mettre hors service d’urgence. Ce sont les bases mêmes de la sécurité de l’information.

Kolochenko a exhorté les organisations à investir dans leurs cyberbases et à mettre en œuvre des stratégies cohérentes afin d’éviter des attaques techniquement peu sophistiquées telles que celles de Nobelium, sinon elles continueront leur poussée.

Comforte’s Trevor Morgan a déclaré que l’activité continue de Nobelium ne devrait pas être une surprise étant donné les récents attentats du groupe.

« Étant donné que le grand pourcentage de leurs attaques se concentre sur les entreprises technologiques et les agences gouvernementales, ces organisations sont très motivées pour aller au-delà des méthodes traditionnelles de protection de l’accès des utilisateurs et du périmètre afin de parer à de futures attaques », a-t-il déclaré. informé.

Cependant, a ajouté Morgan, un problème plus urgent pour de nombreuses organisations était que les informations hautement sensibles ont également tendance à être très précieuses dans les flux de travail de l’entreprise pour des activités telles que l’analyse des données et les tests de développement, donc les outils de sécurité centrés sur les données – comme la tokenisation – doit également être pris en compte.