Microsoft meldt supplychain-aanval op klanten van cloudproviders
Een spionagegroep genaamd Silk Typhoon heeft bij meerdere cloudproviders ingebroken om vervolgens de klanten van deze bedrijven aan te vallen, zo beweert Microsoft. De groep maakt volgens een vandaag verschenen analyse van het techbedrijf gebruik van allerlei methodes om aanvallen uit te voeren. Het gaat dan om misbruik van kwetsbaarheden in edge devices waarvoor nog geen update beschikbaar is, password spraying, het gebruik van wachtwoorden in repositories en supplychain-aanvallen.
Microsoft stelt dat het eind vorig jaar zag dat de groep gebruikmaakte van gestolen API keys en credentials van niet nader genoemde privilege access management (PAM), cloud app providers en cloud data management bedrijven om klanten van deze bedrijven aan te vallen. Daarbij heeft de groep het vooral voorzien op overheden en it-bedrijven, aldus Microsoft. Zodra er toegang is verkregen stelen de aanvallers allerlei gegevens, resetten het standaard admin-account, installeren webshells, maken aanvullende gebruikers aan en schonen logbestanden op.
In het geval de on-premises omgeving is gecompromitteerd bewegen de aanvallers zich vaak ook naar de cloudomgeving. Zo dumpen aanvallers de Active Directory, stelen wachtwoorden in wachtwoordkluizen en verhogen hun rechten. De aanvallers hebben onder andere Microsoft AADConnect-servers aangevallen. AADConect (dat nu bekendstaat als Entra Connect) is een tool die de on-premises Active Directory met Entra ID synchroniseert. Wanneer een aanvaller één van deze servers weet te compromitteren kan de aanvaller zijn rechten verhogen, toegang tot zowel de on-premises als cloudomgevingen krijgen en zich lateraal bewegen.
In de analyse doet Microsoft verschillende aanbevelingen, waaronder ervoor zorgen dat on-premises service-accounts geen directe rechten tot cloud resources hebben, om zo te voorkomen dat de aanvallers zich lateraal naar de cloud kunnen bewegen. Verder wordt aangeraden om logs met betrekking tot Entra Connect-servers op verdachte activiteiten te controleren, alsmede naar nieuw aangemaakte gebruikers op edge devices te zoeken.
Zo hadden ze vorige jaar nog een aantal APT groepen op hun network die ze er niet vanaf kregen.
De vraag is of hun network schoon hebben kunnen krijgen en wat er nog sluimerd of is buitgemaakt.
Helaas is onze gehele overheid over op M365 dus moeten we er vanuit gaan dat ze gecompromiteerd zijn.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
SOC Lead
Directie Informatievoorziening & Inkoop
Als SOC Lead ben je de inhoudelijke en technische motor van ons team. Je werkt actief mee met de security analisten en bent hun sparringspartner en coach. Samen met het team zorg je ervoor dat detectie, analyse en response op hoog niveau worden uit-gevoerd en verder worden ontwikkeld.
Bescherm data, waarborg privacy!
Als Information Security & Privacy Officer bij Kader Group zorg jij voor digitale veiligheid en privacybescherming. Jij houdt bedrijven compliant en weerbaar.
- Salaris tot €6.000
- Leaseauto & hybride werken
- Groei als security-expert
Word onderdeel van ons team.
Solliciteer nu!
Cybersecurity Trainer / Full Stack Developer
bij Certified Secure
Ben je toe aan een nieuwe nieuwe job waarmee je het verschil maakt? Wil jij je security kennis graag delen en hands-on laten zien hoe cybersecurity in de praktijk echt werkt? Werk je net als wij graag samen met enthousiaste en gedreven collega's? Bij ons geen bureaucratie maar open communicatie en een werkomgeving gericht op samenwerking.
