Еще одна вредоносная программа, использованная злоумышленниками, осуществившими атаку на цепочку поставок ПО SolarWinds в декабре, была обнаружена Microsoft.
Исследователи обнаружили ряд модулей, используемых атакующей группой, которую Microsoft называет Nobelium. США и Великобритания официально обвинили хакерское подразделение Службы внешней разведки России (СВР), также известное как APT29, Cozy Bear и The Dukes, в атаке в апреле.
FoggyWeb может создать постоянный бэкдор для злоумышленников
Эта вредоносная программа под названием FoggyWeb создает бэкдор, который злоумышленники используют после получения доступа к целевому серверу.
В этом сценарии группа применяет ряд мер для кражи имен пользователей и паролей серверов служб федерации Active Directory (AD FS), чтобы получить доступ на уровне администратора. Перезаписав основную загрузочную запись, злоумышленник может оставаться внутри сети после очистки. По данным Microsoft, с апреля 2021 года FoggyWeb наблюдается в дикой природе.
Microsoft предупреждает пользователей о вредоносном ПО и дает некоторые рекомендации
Рамин Нафиси из Microsoft Threat Intelligence Center говорит: «Nobelium использует FoggyWeb для удаленного эксфильтрации базы данных конфигурации скомпрометированных серверов AD FS, дешифрованного сертификата для подписи токена и сертификата для дешифрования токена, а также для загрузки и выполнения дополнительных компонентов».
«FoggyWeb – это пассивный и узконаправленный бэкдор, способный удаленно извлекать конфиденциальную информацию со скомпрометированного сервера AD FS. Он также может получать дополнительные вредоносные компоненты с сервера управления и контроля (C2) и запускать их на взломанном сервере », – добавляет он.
Этот бэкдор позволяет злоумышленнику использовать токен SAML, который упрощает пользователям вход в приложения.
Microsoft рекомендует потенциально затронутым потребителям выполнить следующие три основных действия: провести аудит локальной и облачной инфраструктуры на предмет конфигураций, а также параметров для каждого пользователя и приложения; удалить доступ пользователей и приложений, изучить конфигурации и повторно ввести новые надежные учетные данные; и использовать аппаратный модуль безопасности, чтобы предотвратить кражу FoggyWeb секретов с серверов AD FS.