Der er en ny bagdør i naturen, der tilskrives NOBELIUM -trusselsaktøren, menes at ligge bag SUNBURST bagdør, TEARDROP malware, og “relaterede komponenter”.
Ifølge Microsoft Threat Intelligence Center (MSTIC), den såkaldte FoggyWeb er en bagdør efter udnyttelse. NOBELIUM -trusselsaktøren anvender flere teknikker til at udføre legitimationstyveri. Dets nuværende mål er at få adgang på admin-niveau til Active Directory Federation Services (AD FS) servere, siger virksomheden.
FoggyWeb Bagdør: Oversigt
Når der er adgang til en kompromitteret server, trusselsaktørens formål er at bevare vedholdenhed og uddybe dens infiltration via sofistikeret malware. FoggyWeb, være et efterudnyttelsesværktøj, tjener dette formål. Det eksfiltrerer konfigurationsdatabasen for de kompromitterede AD FS -servere eksternt, samt dekrypterede token-signerings- og token-dekrypteringscertifikater.
Malware downloader og udfører også yderligere komponenter, ifølge angriberne’ specifikke behov. FoggyWeb har været brugt i aktive kampagner siden april 2021, Microsoft sagde i en meget detaljeret teknisk opskrivning.
Bagdøren beskrives også som “passiv” og “meget målrettet,” med sofistikerede dataeksfiltreringsmuligheder. “Det kan også modtage yderligere ondsindede komponenter fra en kommando-og-kontrol (C2) server og udføre dem på den kompromitterede server,” forskerne tilføjet. Det er også bemærkelsesværdigt, at malware fungerer ved at tillade misbrug af Security Assertion Markup Language (SAML) token i AD FS.
"Bagdøren konfigurerer HTTP-lyttere til aktørdefinerede URI'er, der efterligner strukturen af de legitime URI'er, der bruges af målets AD FS-implementering. De brugerdefinerede lyttere overvåger passivt alle indgående HTTP GET- og POST -anmodninger, der sendes til AD FS -serveren fra intranettet/internettet og opfanger HTTP -anmodninger, der matcher de brugerdefinerede URI -mønstre, der er defineret af aktøren,” Microsoft sagde.
FoggyWeb er gemt i en krypteret fil kaldet Windows.Data.TimeZones.zh-PH.pri, mens den ondsindede fil version.dll fungerer som en loader. DLL -filen bruger CLR -hosting -grænsefladerne og API'erne til at indlæse FoggyWeb, en administreret DLL. Dette sker i det samme applikationsdomæne, hvor den legitime AD FS -administrerede kode udføres.
Takket være dette trick, malware får adgang til AD FS -kodebasen og ressourcer, AD FS -konfigurationsdatabasen inklusive. Endvidere, bagdøren får AD FS -servicekontotilladelser, der er nødvendige for at få adgang til AD FS -konfigurationsdatabasen.
Da FoggyWeb indlæses i det samme applikationsdomæne som AD FS -administrerede kode, det får programmatisk adgang til de legitime AD FS -klasser, metoder, ejendomme, felter, objekter og komponenter, der efterfølgende udnyttes af FoggyWeb for at lette dets ondsindede operationer, rapporten bemærkede.
Da FoggyWeb er AD FS-version-agnostiker, det behøver ikke at holde styr på ældre kontra moderne konfigurationstabelnavne og skemaer, navngivne rørnavne og andre versionafhængige egenskaber ved AD FS.
“Beskyttelse af AD FS -servere er nøglen til at afbøde NOBELIUM -angreb. Registrering og blokering af malware, angriberaktivitet, og andre ondsindede artefakter på AD FS -servere kan bryde kritiske trin i kendte NOBELIUM -angrebskæder,” Microsoft konkluderede.
Sidste år, Sunburst Trojan blev stoppet af en Kill Switch
I december 2020, det farlige Sunburst trojan blev stoppet ved en fælles kill switch udtænkt af et team af specialister fra Microsoft, GoDaddy, og FireEye.
Mange oplysninger blev tilgængelige om Sunburst Trojan, efter at den blev brugt i et indtrængningsangreb mod SolarWinds. Sikkerhedshændelsen mod virksomheden blev rapporteret at blive foretaget gennem deres egen applikation kaldet Orion.
Efter opdagelsen af malware og givet sværhedsgraden af situationen, et fælles team af eksperter udtænkte en kill -switch for at stoppe malware fra at sprede sig yderligere. Eksperterne opdagede, at et enkelt hacker-kontrolleret domæne driver hovedkommando- og kontroltjenesten.
Kill -kontakten fungerede ved at deaktivere nye infektioner og blokere kørslen af tidligere ved at stoppe aktiviteten til domænet.