Microsoft hat eine weitere Malware identifiziert, die von den Angreifern verwendet wurde, die im Dezember den Angriff auf die Software-Lieferkette von SolarWinds ausgeführt haben.
Forscher haben eine Reihe von Modulen entdeckt, die von der Angriffsgruppe verwendet werden, die Microsoft als Nobelium bezeichnet. Die USA und Großbritannien haben die Hacker-Einheit des russischen Auslandsgeheimdienstes (SVR), auch bekannt als APT29, Cosy Bear und The Dukes, offiziell für den Angriff im April verantwortlich gemacht.
FoggyWeb kann eine permanente Hintertür für Eindringlinge schaffen
Diese Malware namens FoggyWeb erstellt eine Hintertür, die die Eindringlinge verwenden, nachdem sie sich Zugang zu einem Zielserver verschafft haben.
In diesem Szenario wendet die Crew eine Reihe von Maßnahmen an, um die Benutzernamen und Kennwörter von Active Directory Federation Services (AD FS)-Servern zu stehlen, um Zugriff auf Administratorebene zu erhalten. Durch das Überschreiben des Master Boot Record kann ein Angreifer nach einer Bereinigung innerhalb eines Netzwerks verbleiben. Seit April 2021 wird FoggyWeb laut Microsoft in freier Wildbahn beobachtet.
Microsoft warnt Benutzer vor der Malware und gibt einige Empfehlungen
Ramin Nafisi vom Microsoft Threat Intelligence Center sagt: „Nobelium verwendet FoggyWeb, um die Konfigurationsdatenbank kompromittierter AD FS-Server, entschlüsseltes Token-Signaturzertifikat und Token-Entschlüsselungszertifikat aus der Ferne zu exfiltrieren sowie zusätzliche Komponenten herunterzuladen und auszuführen.“
„FoggyWeb ist eine passive und hochgradig zielgerichtete Hintertür, die in der Lage ist, vertrauliche Informationen aus der Ferne von einem kompromittierten AD FS-Server zu extrahieren. Es kann auch zusätzliche bösartige Komponenten von einem Command-and-Control-Server (C2) empfangen und auf dem kompromittierten Server ausführen“, fügt er hinzu.
Diese Hintertür ermöglicht es einem Angreifer, das Security Assertion Markup Language (SAML)-Token auszunutzen, das verwendet wird, um Benutzern die Anmeldung bei Anwendungen zu erleichtern.
Microsoft rät potenziell betroffenen Verbrauchern, diese drei Hauptaktionen zu befolgen: Überwachung der lokalen und Cloud-Infrastruktur auf Konfigurationen sowie Einstellungen pro Benutzer und pro Anwendung; Entfernen Sie den Benutzer- und App-Zugriff, überprüfen Sie Konfigurationen und geben Sie neue starke Anmeldeinformationen erneut aus; und verwenden Sie ein Hardwaresicherheitsmodul, um zu verhindern, dass FoggyWeb Geheimnisse von AD FS-Servern stiehlt.
