Es gibt eine neue Hintertür in freier Wildbahn, die dem NOBELIUM-Bedrohungsakteur zugeschrieben wird, vermutlich hinter der SUNBURST-Hintertür stecken, TEARDROP-Malware, und “zugehörige Komponenten”.
Laut Microsoft Threat Intelligence Center (MSTIC), das sogenannte FoggyWeb ist eine Hintertür nach der Ausbeutung. Der NOBELIUM-Bedrohungsakteur verwendet mehrere Techniken, um den Diebstahl von Anmeldeinformationen durchzuführen. Sein derzeitiges Ziel besteht darin, Zugriff auf Administratorebene auf Active Directory-Verbunddienste zu erhalten (AD FS) Server, teilte das Unternehmen.
FoggyWeb Backdoor: Überblick
Sobald Zugriff auf einen kompromittierten Server erhalten wurde, Der Zweck des Bedrohungsakteurs besteht darin, die Persistenz aufrechtzuerhalten und seine Infiltration durch ausgeklügelte Malware zu vertiefen. Nebelweb, ein Instrument nach der Ausbeutung sein, erfüllt diesen Zweck. Es exfiltriert die Konfigurationsdatenbank der kompromittierten AD FS-Server aus der Ferne, sowie entschlüsselte Token-Signatur- und Token-Entschlüsselungszertifikate.
Die Malware lädt auch zusätzliche Komponenten herunter und führt sie aus, nach den Angreifern’ spezielle Bedürfnisse. FoggyWeb wird seit April in aktiven Kampagnen eingesetzt 2021, Microsoft sagte in einem sehr ausführliche technische Beschreibung.
Die Hintertür wird auch beschrieben als “passiv” und “sehr gezielt,” mit ausgeklügelten Datenexfiltrationsfunktionen. “Es kann auch zusätzliche bösartige Komponenten von einem Command-and-Control empfangen (C2) Server und führen Sie sie auf dem kompromittierten Server aus,” die Forscher hinzugefügt. Es ist auch bemerkenswert, dass die Malware funktioniert, indem sie den Missbrauch der Security Assertion Markup Language . erlaubt (SAML) Token in AD FS.
„Die Hintertür konfiguriert HTTP-Listener für akteursdefinierte URIs, die die Struktur der legitimen URIs nachahmen, die von der AD FS-Bereitstellung des Ziels verwendet werden. Die benutzerdefinierten Listener überwachen passiv alle eingehenden HTTP GET- und POST-Anforderungen, die vom Intranet/Internet an den AD FS-Server gesendet werden, und fangen HTTP-Anforderungen ab, die den vom Akteur definierten benutzerdefinierten URI-Mustern entsprechen,” Microsoft sagte,.
FoggyWeb wird in einer verschlüsselten Datei namens Windows.Data.TimeZones.zh-PH.pri . gespeichert, während die bösartige Datei version.dll als Lader fungiert. Die DLL-Datei verwendet die CLR-Hosting-Schnittstellen und -APIs zum Laden von FoggyWeb, eine verwaltete DLL. Dies geschieht in derselben Anwendungsdomäne, in der der legitime verwaltete AD FS-Code ausgeführt wird.
Dank diesen Trick, die Malware erhält Zugriff auf die AD FS-Codebasis und -Ressourcen, die AD FS-Konfigurationsdatenbank inklusive. Weiter, die Hintertür erwirbt AD FS-Dienstkontoberechtigungen, die für den Zugriff auf die AD FS-Konfigurationsdatenbank erforderlich sind.
Da FoggyWeb in dieselbe Anwendungsdomäne geladen wird wie der von AD FS verwaltete Code, es erhält programmgesteuerten Zugriff auf die legitimen AD FS-Klassen, Methoden, Eigenschaften, Felder, Objekte und Komponenten, die anschließend von FoggyWeb genutzt werden, um seine bösartigen Operationen zu erleichtern, Der Bericht stellte fest.
Da FoggyWeb Versions-unabhängig von AD FS ist, Es muss keine Legacy- und moderne Konfigurationstabellennamen und -schemas im Auge behalten, Named Pipe-Namen und andere versionsabhängige Eigenschaften von AD FS.
“Der Schutz von AD FS-Servern ist der Schlüssel zur Abwehr von NOBELIUM-Angriffen. Erkennen und Blockieren von Malware, Angreiferaktivität, und andere bösartige Artefakte auf AD FS-Servern können kritische Schritte in bekannten NOBELIUM-Angriffsketten unterbrechen,” Microsoft abgeschlossen.
Letztes Jahr, der Sunburst-Trojaner wurde durch einen Kill-Switch gestoppt
Im Dezember 2020, das Gefährliche Sunburst-Trojaner wurde gestoppt durch einen gemeinsamen Kill-Switch, der von einem Team von Spezialisten von Microsoft entwickelt wurde, Los Papa, und FireEye.
Viele Informationen über den Sunburst-Trojaner wurden verfügbar, nachdem er bei einem Eindringungsangriff gegen verwendet wurde SolarWinds. Der Sicherheitsvorfall gegen das Unternehmen soll über die eigene Anwendung namens Orion . durchgeführt worden sein.
Nach der Entdeckung der Malware und angesichts des Schweregrads der Situation, ein gemeinsames Expertenteam entwickelte einen Notausschalter, um die weitere Verbreitung der Malware zu stoppen. Die Experten stellten fest, dass eine einzige von Hackern kontrollierte Domäne den Hauptbefehls- und Kontrolldienst betreibt.
Der Kill-Switch funktionierte, indem er neue Infektionen deaktivierte und die Ausführung vorheriger Infektionen blockierte, indem er die Aktivität in der Domäne stoppte.
Milena Dimitrova
Ein begeisterter Autor und Content Manager, der seit Projektbeginn bei SensorsTechForum ist. Ein Profi mit 10+ jahrelange Erfahrung in der Erstellung ansprechender Inhalte. Konzentriert sich auf die Privatsphäre der Nutzer und Malware-Entwicklung, sie die feste Überzeugung, in einer Welt, in der Cybersicherheit eine zentrale Rolle spielt. Wenn der gesunde Menschenverstand macht keinen Sinn, sie wird es sich Notizen zu machen. Diese Noten drehen können später in Artikel! Folgen Sie Milena @Milenyim
Folge mir: