Microsoft обнаружила новое вредоносное ПО, используемое хакерской группой Nobelium для развертывания дополнительных полезных нагрузок и кражи конфиденциальной информации с серверов служб федерации Active Directory (AD FS).
Nobelium , угроза актер за SolarWinds цепи поставок атаки в прошлом году , что привело к компромиссу ряд федеральных агентств США, является взлом подразделения Службы внешней разведки Российской (СВР), широко известной как APT29, герцогов или Cozy Медведя.
В апреле правительство США официально обвинило подразделение СВР в проведении «широкомасштабной кампании кибершпионажа».
Фирма по кибербезопасности Volexity также связала атаки с операторами APT29 на основе тактики, наблюдавшейся в предыдущих инцидентах еще в 2018 году.
Используется в дикой природе с апреля 2021 г.
Вредоносная программа, названная исследователями Microsoft Threat Intelligence Center (MSTIC) FoggyWeb , представляет собой «пассивный и узконаправленный» бэкдор, который злоупотребляет токеном языка разметки утверждений безопасности (SAML).Он разработан, чтобы помочь злоумышленникам удаленно вывести конфиденциальную информацию со скомпрометированных серверов AD FS путем настройки HTTP-прослушивателей для определяемых субъектом URI-адресов для перехвата запросов GET / POST, отправленных на сервер AD FS, соответствующих настраиваемым шаблонам URI.
«Нобелий использует FoggyWeb удаленно exfiltrate базу данных конфигурации скомпрометированных серверов AD FS, расшифрованы подписи маркера сертификат и сертификат лексема-дешифрования , а также для загрузки и выполнения дополнительных компонентов,» сказал Microsoft .
«Он также может получать дополнительные вредоносные компоненты с сервера управления и контроля (C2) и запускать их на скомпрометированном сервере».
FoggyWeb работает как постоянный бэкдор, который позволяет злоупотреблять токенами SAML и настраивает прослушиватели HTTP для URI, определяемых субъектом, для перехвата запросов GET / POST, отправленных на сервер AD FS, которые соответствуют настраиваемым шаблонам URI.
Российские государственные хакеры наблюдаются за использованием бэкдора FoggyWeb в дикой природе с апреля 2021 года.
Связь через бэкдор FoggyWeb (Microsoft)
Советы по защите от FoggyWeb
Корпорация Майкрософт уже уведомила заказчиков, которые были атакованы или скомпрометированы с помощью этого бэкдора.Организациям, которые считают, что они могли быть взломаны или взломаны, рекомендуется:
- Аудит локальной и облачной инфраструктуры, включая конфигурацию, параметры для каждого пользователя и приложения, правила переадресации и другие изменения, которые субъект мог внести для поддержания своего доступа.
- Удалите доступ пользователей и приложений, просмотрите конфигурации для каждого из них и повторно выпустите новые надежные учетные данные в соответствии с задокументированными передовыми практиками.
- Используйте аппаратный модуль безопасности (HSM), как описано в разделе «Защита серверов AD FS», чтобы предотвратить кражу секретов FoggyWeb.
Они подробно рассказали еще о трех штаммах вредоносных программ Nobelium, которые использовались для многоуровневой персистентности в марте: командно-контрольный бэкдор, получивший название GoldMax, инструмент персистентности и дроппер вредоносных программ под названием Sibot, а также инструмент отслеживания HTTP, отслеживаемый как GoldFinder.
Перевод Google