Microsoft zidentyfikował kolejne złośliwe oprogramowanie wykorzystywane przez napastników, którzy w grudniu przeprowadzili atak na łańcuch dostaw oprogramowania SolarWinds.
Badacze odkryli szereg modułów wykorzystywanych przez grupę atakującą, którą Microsoft nazywa Nobelium. Stany Zjednoczone i Wielka Brytania oficjalnie obarczyły odpowiedzialnością za atak w kwietniu jednostkę hakerską rosyjskiej Służby Wywiadu Zagranicznego (SVR), znaną również jako APT29, Cozy Bear i The Dukes.
FoggyWeb może stworzyć stałe tylne drzwi dla intruzów
To złośliwe oprogramowanie o nazwie FoggyWeb tworzy tylne drzwi, które intruzi wykorzystują po uzyskaniu dostępu do docelowego serwera.
W tym scenariuszu załoga stosuje szereg środków w celu kradzieży nazw użytkowników i haseł serwera Active Directory Federation Services (AD FS) w celu uzyskania dostępu na poziomie administratora. Nadpisując główny rekord rozruchowy, osoba atakująca może pozostać w sieci po oczyszczeniu. Według Microsoft od kwietnia 2021 r. FoggyWeb jest obserwowany na wolności.
Microsoft ostrzega użytkowników przed złośliwym oprogramowaniem i podaje kilka zaleceń
Ramin Nafisi z Microsoft Threat Intelligence Center mówi: „Nobelium używa FoggyWeb do zdalnej eksfiltracji bazy danych konfiguracji zaatakowanych serwerów AD FS, odszyfrowanego certyfikatu podpisywania tokenów i certyfikatu odszyfrowywania tokenów, a także do pobierania i uruchamiania dodatkowych komponentów”.
„FoggyWeb to pasywny i wysoce ukierunkowany backdoor, który może zdalnie wydobywać poufne informacje z zaatakowanego serwera AD FS. Może również odbierać dodatkowe złośliwe komponenty z serwera C2 i uruchamiać je na zaatakowanym serwerze” – dodaje.
Ten backdoor umożliwia atakującemu wykorzystanie tokenu SAML (Security Assertion Markup Language), który służy do ułatwienia użytkownikom logowania się do aplikacji.
Microsoft zaleca konsumentom potencjalnie dotkniętym problemem, aby wykonali następujące trzy kluczowe działania: audyt infrastruktury lokalnej i w chmurze pod kątem konfiguracji oraz ustawień dla poszczególnych użytkowników i aplikacji; usunąć dostęp użytkowników i aplikacji, zbadać konfiguracje i ponownie wydać nowe silne poświadczenia; i zastosować sprzętowy moduł zabezpieczeń, aby uniemożliwić FoggyWeb kradzież danych tajnych z serwerów AD FS.