FoggyWeb – новый тип вредоносного ПО от группы хакеров Nobelium

FoggyWeb - новый тип вредоносного ПО от группы хакеров Nobelium Новости

Microsoft предупреждает о последней атаке вредоносного ПО и объясняет, как избежать секретного бэкдора

Microsoft недавно обнаружила еще один тип вредоносного ПО, названное Microsoft FoggyWeb, которое хакеры в настоящее время используют для удаленного кражи учетных данных администратора сети. Учетные данные позволяют группе злоумышленников, которую компания назвала Nobelium, взламывать учетные записи администраторов серверов Active Directory Federation Services (AD FS) и контролировать доступ пользователей к различным ресурсам.

Microsoft утверждает, что это та же группа, которая стоит за атакой на цепочку поставок программного обеспечения SolarWinds, которая была обнаружена в декабре.

Вредоносная программа действует как бэкдор для хакеров и облегчает удаленную кражу токенов и сертификатов с платформы идентификации Microsoft.

Недавно обнаруженное вредоносное ПО используется злоумышленниками после того, как сервер, на который они нацелены, уже был скомпрометирован с точки зрения безопасности. Группа хакеров использует несколько тактик для доступа к личным данным пользователей и необходимой инфраструктуре, необходимой для контроля использования их приложений.

Рамин Нафиси из Microsoft Threat Intelligence Center говорит: «Nobelium использует FoggyWeb для удаленной эксфильтрации базы данных конфигурации скомпрометированных серверов AD FS, дешифрованного сертификата для подписи токена и сертификата для дешифрования токена, а также для загрузки и выполнения дополнительных компонентов».

«FoggyWeb – это пассивный и узконаправленный бэкдор, способный удаленно извлекать конфиденциальную информацию со скомпрометированного сервера AD FS. Он также может получать дополнительные вредоносные компоненты с сервера управления и контроля (C2) и запускать их на взломанном сервере », – добавляет Microsoft.

Бэкдор, который удалось преодолеть Nobelium, позволяет хакеру получить доступ к токену SAML. Этот токен предназначен для помощи пользователям в аутентификации приложений. Взлом токена позволяет злоумышленникам оставаться внутри сети даже после регулярных чисток. Фактически, по данным Microsoft, FoggyWeb используется с апреля 2021 года.

Microsoft обнаружила ряд модулей, используемых Nobelium. К ним относятся компоненты GoldMax, GoldFinder и Sibot. Они были созданы с помощью других вредоносных программ, которые были признаны виновными в использовании той же группы. К ним относятся Sunburst, Solarigate, Teardrop и Sunspot.

Людям, которые становятся жертвами атаки, Microsoft рекомендует проводить аудит локальной и облачной инфраструктуры на предмет конфигураций, а также настроек для каждого пользователя и приложения; удаление доступа пользователей и приложений, просмотр конфигураций и повторная выдача новых надежных учетных данных; и использование аппаратного модуля безопасности, чтобы предотвратить кражу FoggyWeb секретов с серверов AD FS.

admin
Оцените автора
NIBBL
Добавить комментарий