Microsoft: Nobelium использует специальное вредоносное ПО для лазейки доменов Windows

21
Microsoft 365 получит улучшенные инструменты управления внутренними рисками

Microsoft обнаружила новое вредоносное ПО, используемое хакерской группой Nobelium для развертывания дополнительных полезных нагрузок и кражи конфиденциальной информации с серверов служб федерации Active Directory (AD FS).

Nobelium , угроза актер за SolarWinds цепи поставок нападения в прошлом году , что привело к компромиссу ряд федеральных агентств США, является взлом подразделения Службы внешней разведки Российской (СВР), широко известной как APT29, герцогов или Cozy Медведя.

В апреле правительство США официально обвинило подразделение СВР в проведении «широкомасштабной кампании кибершпионажа».

Фирма по кибербезопасности Volexity также связала атаки с операторами APT29 на основе тактики, наблюдавшейся в предыдущих инцидентах еще в 2018 году.

Вредоносная программа, названная исследователями Microsoft Threat Intelligence Center (MSTIC) FoggyWeb, представляет собой «пассивный и узконаправленный» бэкдор, который злоупотребляет токеном Security Assertion Markup Language (SAML).

Он разработан, чтобы помочь злоумышленникам удаленно вывести конфиденциальную информацию со скомпрометированных серверов AD FS путем настройки HTTP-прослушивателей для URI, определяемых субъектом, для перехвата запросов GET / POST, отправленных на сервер AD FS, соответствующих настраиваемым шаблонам URI.

«Нобелий использует FoggyWeb удаленно exfiltrate базу данных конфигурации скомпрометированных серверов AD FS, расшифрованы подписи маркера сертификат и сертификат лексема-дешифрования, а также для загрузки и выполнения дополнительных компонентов» сказали в Microsoft.

«Он также может получать дополнительные вредоносные компоненты с сервера управления и контроля (C2) и выполнять их на скомпрометированном сервере».

FoggyWeb работает как постоянный бэкдор, который позволяет злоупотреблять токенами SAML и настраивает прослушиватели HTTP для URI, определяемых субъектом, для перехвата запросов GET / POST, отправленных на сервер AD FS, которые соответствуют настраиваемым шаблонам URI.

Российские государственные хакеры наблюдаются с использованием бэкдора FoggyWeb в дикой природе с апреля 2021 года.

Советы по защите от FoggyWeb 

Корпорация Майкрософт уже уведомила заказчиков, которые были нацелены или скомпрометированы с помощью этого бэкдора.

Организациям, которые считают, что они могли быть взломаны или взломаны, рекомендуется:

  • Аудит локальной и облачной инфраструктуры, включая конфигурацию, параметры для каждого пользователя и приложения, правила переадресации и другие изменения, которые субъект мог внести для поддержания своего доступа.
  • Удалите доступ пользователей и приложений, просмотрите конфигурации для каждого из них и повторно выпустите новые надежные учетные данные в соответствии с задокументированными передовыми отраслевыми практиками.
  • Используйте  аппаратный модуль безопасности (HSM),  как описано в   разделе «Защита серверов AD FS», чтобы предотвратить кражу секретов FoggyWeb.

В мае исследователи Microsoft также  выявили четыре других семейства вредоносных программ,  используемых Nobelium в своих атаках: загрузчик, известный как BoomBox, вложение HTML с именем EnvyScout, загрузчик шеллкода и средство запуска с именем VaporRage и загрузчик, известный как NativeZone.

Они подробно рассказали еще о  трех штаммах вредоносных программ Nobelium, которые  использовались для многоуровневой персистентности в марте: командно-контрольный бэкдор, получивший название GoldMax, инструмент персистентности и дроппер вредоносных программ под названием Sibot, а также инструмент отслеживания HTTP, отслеживаемый как GoldFinder.

ОСТАВЬТЕ ОТВЕТ

Please enter your comment!
Please enter your name here