12月にSolarWindsソフトウェアサプライチェーン攻撃を実行した攻撃者が使用した別のマルウェアがMicrosoftによって特定されました。
研究者は、マイクロソフトがノーベリウムと呼んでいる攻撃グループによって利用されている多くのモジュールを発見しました。 米国と英国は、4月の攻撃の責任を負って、APT29、コージーベア、デュークスとしても知られるロシア対外情報庁(SVR)のハッキングユニットを公式に起訴しました。
FoggyWebは、侵入者のための永続的なバックドアを作成できます
FoggyWebと呼ばれるこのマルウェアは、侵入者が標的のサーバーにアクセスした後に使用するバックドアを作成します。
このシナリオでは、乗組員は、管理者レベルのアクセスを取得するために、Active Directoryフェデレーションサービス(AD FS)サーバーのユーザー名とパスワードを盗むためのさまざまな手段を採用しています。 マスターブートレコードを上書きすることにより、攻撃者はクリーンアップ後にネットワーク内に留まる可能性があります。 Microsoftによると、2021年4月以降、FoggyWebは実際に観察されています。
マイクロソフトはマルウェアについてユーザーに警告し、いくつかの推奨事項を示しています
Microsoft Threat IntelligenceCenterのRaminNafisi氏は、次のように述べています。「NobeliumはFoggyWebを使用して、侵害されたAD FSサーバーの構成データベース、復号化されたトークン署名証明書、トークン復号化証明書をリモートで盗み出し、追加のコンポーネントをダウンロードして実行します。」
「FoggyWebは、侵害されたADFSサーバーから機密情報をリモートで盗み出すことができるパッシブで高度にターゲットを絞ったバックドアです。 また、コマンドアンドコントロール(C2)サーバーから追加の悪意のあるコンポーネントを受け取り、侵害されたサーバーでそれらを実行する可能性もあります」と彼は付け加えています。
このバックドアにより、攻撃者はSecurity Assertion Markup Language(SAML)トークンを悪用できます。このトークンは、ユーザーがアプリケーションに簡単にログインできるようにするために使用されます。
マイクロソフトは、影響を受ける可能性のある消費者に、次の3つの主要なアクションに従うようにアドバイスしています。オンプレミスとクラウドインフラストラクチャの構成、およびユーザーごととアプリケーションごとの設定を監査します。 ユーザーとアプリへのアクセスを削除し、構成を調べて、新しい強力なクレデンシャルを再発行します。 また、ハードウェアセキュリティモジュールを使用して、FoggyWebがADFSサーバーからシークレットを盗むのを防ぎます。