Microsoft обнаружила еще одну вредоносную программу, использованную злоумышленниками, стоявшими за атакой на цепочку поставок программного обеспечения SolarWinds, обнаруженной в декабре.
Исследователи безопасности обнаружили множество модулей, используемых группой атак, которую Microsoft называет Nobelium. В апреле США и Великобритания официально обвинили в атаке хакерское подразделение Службы внешней разведки (СВР), которое также известно как APT29, Cozy Bear и The Dukes.
В марте Microsoft обнаружила компоненты GoldMax, GoldFinder и Sibot от Nobelium, основанные на других вредоносных программах этой группы, включая Sunburst / Solarigate, Teardrop и Sunspot.
СМОТРИ: Четыре месяца спустя после изощренной кибератаки департамент здравоохранения Аляски все еще восстанавливается
Недавно обнаруженное вредоносное ПО, получившее название FoggyWeb от Microsoft, это бэкдор, используемый злоумышленниками после того, как целевой сервер уже был скомпрометирован.
В этом случае группа использует несколько тактик для кражи сетевых имен пользователей и паролей для получения доступа на уровне администратора к серверам служб федерации Active Directory (AD FS), что дает им доступ к инфраструктуре управления удостоверениями и доступом для управления доступ пользователей к приложениям и ресурсам. Это позволяет злоумышленникам оставаться внутри сети даже после очистки. По данным Microsoft, FoggyWeb используется в дикой природе с апреля 2021 года.
«Nobelium использует FoggyWeb для удаленной эксфильтрации базы данных конфигурации скомпрометированных серверов AD FS, дешифрованного сертификата подписи токена и сертификата дешифрования токена, а также для загрузки и выполнения дополнительных компонентов», — объясняет Рамин Нафиси из Центр аналитики угроз Microsoft.
«FoggyWeb — это пассивный и узконаправленный бэкдор, способный удаленно извлекать конфиденциальную информацию со скомпрометированного сервера AD FS. Он также может получать дополнительные вредоносные компоненты с сервера управления и контроля (C2) и запускать их на скомпрометированный сервер ", — добавляет Нафиси.
Бэкдор допускает злоупотребление токеном SAML, который используется для облегчения аутентификации пользователей в приложениях.
SEE: Не хотите, чтобы вас взломали? Затем избегайте этих трех «исключительно опасных» ошибок кибербезопасности
Microsoft рекомендует потенциально затронутым клиентам предпринять три основных шага: аудит локальной и облачной инфраструктуры на предмет конфигураций, а также настроек для отдельных пользователей и приложений; удаление доступа пользователей и приложений, просмотр конфигураций и повторный выпуск новых надежных учетных данных; и использование аппаратного модуля безопасности, чтобы предотвратить кражу FoggyWeb секретов с серверов AD FS.
В мае Microsoft обнаружила другие инструменты заражения Noeblium, включая EnvyScout, BoomBox, NativeZone и VaporRage, а также целевую фишинговую кампанию, опирающуюся на законный электронный маркетинг в США. обслуживание .
