NOBELIUMの脅威アクターに起因する新しいバックドアが野生にあります, SUNBURSTバックドアの背後にあると考えられています, TEARDROPマルウェア, と “関連コンポーネント”.
Microsoft ThreatIntelligenceCenterによると (MSTIC), いわゆるFoggyWebは、悪用後のバックドアです。. NOBELIUMの脅威アクターは、複数の手法を使用して資格情報の盗難を実行します. 現在の目標は、ActiveDirectoryフェデレーションサービスへの管理者レベルのアクセスを取得することです。 (AD FS) サーバー, 会社は言った.
FoggyWebバックドア: 概要
侵害されたサーバーへのアクセスが取得されると, 攻撃者の目的は、永続性を維持し、高度なマルウェアを介して侵入を深めることです。. FoggyWeb, 悪用後のツールであること, この目的を果たします. 侵害されたADFSサーバーの構成データベースをリモートで盗み出します, 復号化されたトークン署名証明書とトークン復号化証明書.
マルウェアは、追加のコンポーネントもダウンロードして実行します, 攻撃者によると’ 特定のニーズ. FoggyWebは、4月からアクティブなキャンペーンで使用されています 2021, マイクロソフトは非常に言った 詳細なテクニカルライティング.
バックドアは、 “受け身” と “非常にターゲットを絞った,” 高度なデータ抽出機能を備えています. “また、コマンドアンドコントロールから追加の悪意のあるコンポーネントを受け取る可能性があります (C2) サーバーと侵害されたサーバー上でそれらを実行します,” 研究者は付け加えた. マルウェアがセキュリティアサーションマークアップ言語の悪用を許可することによって動作することも注目に値します (SAML) ADFSのトークン.
「バックドアは、ターゲットのADFS展開で使用される正当なURIの構造を模倣するアクター定義のURIのHTTPリスナーを構成します. カスタムリスナーは、イントラネット/インターネットからADFSサーバーに送信されるすべての着信HTTPGETおよびPOST要求を受動的に監視し、アクターによって定義されたカスタムURIパターンに一致するHTTP要求をインターセプトします。,” マイクロソフトは言った.
FoggyWebは、Windows.Data.TimeZones.zh-PH.priという暗号化されたファイルに保存されます。, 悪意のあるファイルversion.dllはローダーとして機能します. DLLファイルは、CLRホスティングインターフェイスとAPIを使用してFoggyWebをロードします, マネージDLL. これは、正当なADFSマネージコードが実行されるのと同じアプリケーションドメインで発生します.
このトリックのおかげで, マルウェアはADFSコードベースとリソースへのアクセスを取得します, ADFS構成データベースを含む. さらに, バックドアは、ADFS構成データベースにアクセスするために必要なADFSサービスアカウントのアクセス許可を取得します.
FoggyWebは、ADFSマネージコードと同じアプリケーションドメインに読み込まれるため, 正当なADFSクラスへのプログラムによるアクセスを取得します, メソッド, プロパティ, 田畑, 悪意のある操作を容易にするためにFoggyWebによって後で利用されるオブジェクトとコンポーネント, 報告書は指摘しました.
FoggyWebはADFSバージョンに依存しないため, 従来の構成テーブルと最新の構成テーブルの名前およびスキーマを追跡する必要はありません。, 名前付きパイプ名およびADFSの他のバージョン依存プロパティ.
“AD FSサーバーを保護することは、NOBELIUM攻撃を軽減するための鍵です. マルウェアの検出とブロック, 攻撃者の活動, AD FSサーバー上のその他の悪意のあるアーティファクトは、既知のNOBELIUM攻撃チェーンの重要なステップを破る可能性があります,” マイクロソフトは結論を出しました.
去年, サンバーストトロイの木馬はキルスイッチによって停止されました
12月中 2020, 危険な サンバーストトロイの木馬が停止しました マイクロソフトの専門家チームによって考案された共同キルスイッチによる, GoDaddy, とFireEye.
サンバーストトロイの木馬が侵入攻撃に使用された後、多くの情報が利用可能になりました ソーラーウィンズ. 会社に対するセキュリティインシデントは、Orionと呼ばれる独自のアプリケーションを介して行われたと報告されました.
マルウェアの発見に続いて、状況の重大度を考えると, 専門家の合同チームは、マルウェアがさらに伝播するのを防ぐためにキルスイッチを考案しました. 専門家は、単一のハッカー制御ドメインがメインコマンドアンドコントロールサービスを運用していることを検出しました.
キルスイッチは、新しい感染を無効にし、ドメインへのアクティビティを停止することで以前の感染の実行をブロックすることで機能しました.