Microsoft: Nobelium использует специальное вредоносное ПО для лазейки доменов Windows

Microsoft: Июньские обновления Windows могут нарушить работу точек доступа Wi-Fi

Microsoft обнаружила новое вредоносное ПО, используемое хакерской группой Nobelium для развертывания дополнительных полезных нагрузок и кражи конфиденциальной информации с серверов служб федерации Active Directory (AD FS).

Nobelium , угроза актер за SolarWinds цепи поставок нападения в прошлом году , что привело к компромиссу ряд федеральных агентств США, является взлом подразделения Службы внешней разведки Российской (СВР), широко известной как APT29, герцогов или Cozy Медведя.

В апреле правительство США официально обвинило подразделение СВР в проведении «широкомасштабной кампании кибершпионажа».

Фирма по кибербезопасности Volexity также связала атаки с операторами APT29 на основе тактики, наблюдавшейся в предыдущих инцидентах еще в 2018 году.

Вредоносная программа, названная исследователями Microsoft Threat Intelligence Center (MSTIC) FoggyWeb, представляет собой «пассивный и узконаправленный» бэкдор, который злоупотребляет токеном Security Assertion Markup Language (SAML).

Он разработан, чтобы помочь злоумышленникам удаленно вывести конфиденциальную информацию со скомпрометированных серверов AD FS путем настройки HTTP-прослушивателей для URI, определяемых субъектом, для перехвата запросов GET / POST, отправленных на сервер AD FS, соответствующих настраиваемым шаблонам URI.

«Нобелий использует FoggyWeb удаленно exfiltrate базу данных конфигурации скомпрометированных серверов AD FS, расшифрованы подписи маркера сертификат и сертификат лексема-дешифрования, а также для загрузки и выполнения дополнительных компонентов» сказали в Microsoft.

«Он также может получать дополнительные вредоносные компоненты с сервера управления и контроля (C2) и выполнять их на скомпрометированном сервере».

FoggyWeb работает как постоянный бэкдор, который позволяет злоупотреблять токенами SAML и настраивает прослушиватели HTTP для URI, определяемых субъектом, для перехвата запросов GET / POST, отправленных на сервер AD FS, которые соответствуют настраиваемым шаблонам URI.

Российские государственные хакеры наблюдаются с использованием бэкдора FoggyWeb в дикой природе с апреля 2021 года.

Советы по защите от FoggyWeb 

Корпорация Майкрософт уже уведомила заказчиков, которые были нацелены или скомпрометированы с помощью этого бэкдора.

Организациям, которые считают, что они могли быть взломаны или взломаны, рекомендуется:

  • Аудит локальной и облачной инфраструктуры, включая конфигурацию, параметры для каждого пользователя и приложения, правила переадресации и другие изменения, которые субъект мог внести для поддержания своего доступа.
  • Удалите доступ пользователей и приложений, просмотрите конфигурации для каждого из них и повторно выпустите новые надежные учетные данные в соответствии с задокументированными передовыми отраслевыми практиками.
  • Используйте  аппаратный модуль безопасности (HSM),  как описано в   разделе «Защита серверов AD FS», чтобы предотвратить кражу секретов FoggyWeb.

В мае исследователи Microsoft также  выявили четыре других семейства вредоносных программ,  используемых Nobelium в своих атаках: загрузчик, известный как BoomBox, вложение HTML с именем EnvyScout, загрузчик шеллкода и средство запуска с именем VaporRage и загрузчик, известный как NativeZone.

Они подробно рассказали еще о  трех штаммах вредоносных программ Nobelium, которые  использовались для многоуровневой персистентности в марте: командно-контрольный бэкдор, получивший название GoldMax, инструмент персистентности и дроппер вредоносных программ под названием Sibot, а также инструмент отслеживания HTTP, отслеживаемый как GoldFinder.

Последнее обновление 28.09.2021