Een ander stukje malware dat werd gebruikt door de aanvallers die in december de SolarWinds-software supply chain-aanval uitvoerden, is door Microsoft geïdentificeerd.
Onderzoekers hebben een aantal modules ontdekt die worden gebruikt door de aanvalsgroep, die Microsoft Nobelium noemt. De VS en het Verenigd Koninkrijk hebben de hackeenheid van de Russische Buitenlandse Inlichtingendienst (SVR), ook bekend als APT29, Cozy Bear en The Dukes officieel belast met de verantwoordelijkheid voor de aanval in april.
FoggyWeb kan een permanente achterdeur creëren voor indringers
Deze malware genaamd FoggyWeb creëert een achterdeur die de indringers gebruiken nadat ze toegang hebben gekregen tot een gerichte server.
In dit scenario gebruikt de bemanning een reeks maatregelen om gebruikersnamen en wachtwoorden van Active Directory Federation Services (AD FS)-servers te stelen om toegang op beheerdersniveau te krijgen. Door het master-opstartrecord te overschrijven, kan een aanvaller na een opschoning in een netwerk blijven. Volgens Microsoft wordt FoggyWeb sinds april 2021 in het wild waargenomen.
Microsoft waarschuwt gebruikers voor de malware en geeft enkele aanbevelingen
Ramin Nafisi van het Microsoft Threat Intelligence Center zegt: “Nobelium gebruikt FoggyWeb om op afstand de configuratiedatabase van gecompromitteerde AD FS-servers, gedecodeerde token-signing-certificaten en token-decoderingscertificaten te exfiltreren en aanvullende componenten te downloaden en uit te voeren.”
“FoggyWeb is een passieve en zeer gerichte achterdeur die op afstand gevoelige informatie van een gecompromitteerde AD FS-server kan exfiltreren. Het kan ook aanvullende kwaadaardige componenten ontvangen van een command-and-control (C2) server en deze uitvoeren op de gecompromitteerde server”, voegt hij eraan toe.
Deze achterdeur stelt een aanvaller in staat om het Security Assertion Markup Language (SAML)-token te misbruiken, dat wordt gebruikt om het voor gebruikers gemakkelijker te maken om in te loggen op applicaties.
Microsoft adviseert mogelijk getroffen consumenten om deze drie belangrijke acties te volgen: audit on-premises en cloudinfrastructuur voor configuraties en instellingen per gebruiker en per applicatie; verwijder gebruikers- en app-toegang, onderzoek configuraties en geef nieuwe sterke referenties opnieuw uit; en gebruik een hardwarebeveiligingsmodule om te voorkomen dat FoggyWeb geheimen steelt van AD FS-servers.