Er is een nieuwe achterdeur in het wild toegeschreven aan de NOBELIUM-bedreigingsacteur, vermoedelijk achter de SUNBURST-achterdeur, TEARDROP-malware, en “gerelateerde componenten”.
Volgens Microsoft Threat Intelligence Center (MSTIC), het zogenaamde FoggyWeb is een post-exploitatie achterdeur. De NOBELIUM-dreigingsactor gebruikt meerdere technieken om legitimatiediefstal uit te voeren. Het huidige doel is het verkrijgen van toegang op beheerdersniveau tot Active Directory Federation Services (AD FS) servers, aldus het bedrijf.
FoggyWeb Achterdeur: Overzicht
Zodra toegang is verkregen tot een gecompromitteerde server, het doel van de dreigingsactor is om volharding te behouden en zijn infiltratie via geavanceerde malware te verdiepen. MistigWeb, een post-exploitatietool zijn, dient dit doel. Het exfiltreert op afstand de configuratiedatabase van de gecompromitteerde AD FS-servers, evenals gedecodeerde token-ondertekenings- en token-decoderingscertificaten.
De malware downloadt en voert ook extra componenten uit, volgens de aanvallers’ specifieke behoeften. FoggyWeb wordt sinds april gebruikt in actieve campagnes 2021, Microsoft zei in een zeer gedetailleerde technische beschrijving.
De achterdeur wordt ook beschreven als: “passief” en “zeer gericht,” met geavanceerde mogelijkheden voor gegevensexfiltratie. “Het kan ook aanvullende kwaadaardige componenten ontvangen van een command-and-control (C2) server en voer ze uit op de gecompromitteerde server,” de onderzoekers toegevoegd. Het is ook opmerkelijk dat de malware werkt door misbruik van de Security Assertion Markup Language toe te staan (SAML) token in AD FS.
“De achterdeur configureert HTTP-listeners voor door actoren gedefinieerde URI's die de structuur nabootsen van de legitieme URI's die worden gebruikt door de AD FS-implementatie van het doel. De aangepaste listeners bewaken passief alle inkomende HTTP GET- en POST-verzoeken die vanaf het intranet/internet naar de AD FS-server worden verzonden en onderscheppen HTTP-verzoeken die overeenkomen met de aangepaste URI-patronen die door de actor zijn gedefinieerd,” Microsoft zei.
FoggyWeb wordt opgeslagen in een versleuteld bestand genaamd Windows.Data.TimeZones.zh-PH.pri, terwijl het kwaadaardige bestand version.dll fungeert als een lader. Het DLL-bestand gebruikt de CLR-hostinginterfaces en API's om FoggyWeb te laden, een beheerde DLL. Dit gebeurt in hetzelfde toepassingsdomein waar de legitieme door AD FS beheerde code wordt uitgevoerd.
Dankzij deze truc, de malware krijgt toegang tot de AD FS-codebase en bronnen, inclusief de AD FS-configuratiedatabase. Bovendien, de achterdeur verwerft AD FS-serviceaccountmachtigingen die nodig zijn om toegang te krijgen tot de AD FS-configuratiedatabase.
Aangezien FoggyWeb in hetzelfde toepassingsdomein wordt geladen als de door AD FS beheerde code:, het krijgt programmatische toegang tot de legitieme AD FS-klassen, methoden, eigenschappen, velden, objecten en componenten die vervolgens door FoggyWeb worden gebruikt om zijn kwaadaardige operaties te vergemakkelijken, het verslag wordt opgemerkt.
Omdat FoggyWeb AD FS-versie-agnostisch is, het hoeft geen oude versus moderne configuratietabelnamen en -schema's bij te houden, Named Pipe-namen en andere versie-afhankelijke eigenschappen van AD FS.
“Bescherming van AD FS-servers is essentieel om NOBELIUM-aanvallen te beperken. Malware detecteren en blokkeren, aanvaller activiteit, en andere kwaadaardige artefacten op AD FS-servers kunnen kritieke stappen in bekende NOBELIUM-aanvalsketens doorbreken,” Microsoft gesloten.
Vorig jaar, de Sunburst-trojan werd gestopt door een kill-schakelaar
In december 2020, het gevaarlijke Sunburst-trojan is gestopt door een gezamenlijke kill-switch bedacht door een team van specialisten van Microsoft, GoDaddy, en FireEye.
Er kwam veel informatie beschikbaar over de Sunburst-trojan nadat deze was gebruikt bij een inbraakaanval tegen: Zonnewind. Het beveiligingsincident tegen het bedrijf werd gemeld via hun eigen applicatie genaamd Orion.
Na de ontdekking van de malware en gezien de ernst van de situatie, een gezamenlijk team van experts bedacht een kill-schakelaar om te voorkomen dat de malware zich verder verspreidt. De experts ontdekten dat een enkel door een hacker beheerd domein de belangrijkste commando- en controledienst beheert.
De kill-schakelaar werkte door nieuwe infecties uit te schakelen en de uitvoering van eerdere infecties te blokkeren door de activiteit naar het domein te stoppen.
Milena Dimitrova
Een bevlogen schrijver en contentmanager die sinds de start van het project bij SensorsTechForum werkt. Een professional met 10+ jarenlange ervaring in het creëren van boeiende inhoud. Gericht op de privacy van gebruikers en malware ontwikkeling, ze gelooft sterk in een wereld waar cybersecurity speelt een centrale rol. Als het gezond verstand heeft geen zin, ze zullen er zijn om aantekeningen te maken. Deze toelichtingen kunnen later om te zetten in artikelen! Volg Milena @Milenyim
Volg mij: