Microsoft har for nylig opdaget en anden type malware, navngivet FoggyWeb af Microsoft, det hackere bruger i øjeblikket at fjernstjæle netværksadministratorlegitimationsoplysninger. Oplysningerne giver angribergruppen, som virksomheden har kaldt Nobelium, mulighed for at hacke sig ind på admin konti for Active Directory Federation Services' (AD FS) servere og kontrollerer brugernes adgang til forskellige ressourcer.
Microsoft hævder, at dette er den samme gruppe bag SolarWinds softwareforsyningskædeangrebet, der blev afsløret i december.
Malwaren fungerer som en bagdør for hackerne og letter deres fjerntyveri af tokens og certifikater fra Microsofts identitetsplatform.
Relaterede
- Microsoft har lige givet dig en ny måde at beskytte dig mod virus
- Pas på, disse gratis Windows-apps gemmer på en farlig hemmelighed
- Microsoft-hackeren LAPSUS$ har lige krævet endnu et offer
Den nyopdagede malware bruges af angriberne, når den server, de er rettet mod, allerede er blevet kompromitteret med hensyn til sikkerhed. Hackergruppen bruger flere taktikker for at få adgang til brugernes identiteter og den nødvendige infrastruktur, der kræves for at tage kontrol over deres app-brug.
Anbefalede videoer
Ramin Nafisi fra Microsoft Threat Intelligence Center siger: "Nobelium bruger FoggyWeb til at fjerneksfiltrere konfigurationsdatabasen for kompromitterede AD FS-servere, dekrypteret token-signeringscertifikat og token-dekrypteringscertifikat, samt at downloade og udføre yderligere komponenter”.
"FoggyWeb er en passiv og meget målrettet bagdør, der er i stand til at fjerneksfiltrere følsom information fra en kompromitteret AD FS-server. Den kan også modtage yderligere ondsindede komponenter fra en kommando-og-kontrol-server (C2) og udføre dem på den kompromitterede server,” tilføjer Microsoft.
Bagdøren, som Nobelium formår at komme forbi, giver hackeren adgang til SAML-tokenet (Security Assertion Markup Language). Dette token er til at hjælpe brugere med at godkende apps. Hacking af tokenet tillader angriberne at forblive inde på netværket selv efter regelmæssige oprydninger. Faktisk har FoggyWeb ifølge Microsoft været i brug siden april 2021.
Microsoft har afsløret en række moduler, der bruges af Nobelium. Disse omfatter komponenterne GoldMax, GoldFinder og Sibot. Disse blev bygget ved hjælp af anden malware, som den samme gruppe blev fundet skyldig i at bruge. Disse inkluderer Sunburst, Solarigate, Teardrop og Sunspot.
For folk, der bliver offer for angrebet, anbefaler Microsoft at revidere on-premise og cloud-infrastruktur for konfigurationer og indstillinger pr. bruger og pr. app; fjernelse af bruger- og appadgang, gennemgang af konfigurationer og genudstedelse af nye stærke legitimationsoplysninger; og bruge et hardwaresikkerhedsmodul til at forhindre FoggyWeb i at stjæle hemmeligheder fra AD FS-servere.
Redaktørens anbefalinger
- Kinesiske hackere retter sig mod kritisk amerikansk infrastruktur, advarer Microsoft
- Microsoft forklarer, hvordan tusindvis af Nvidia GPU'er byggede ChatGPT
- Microsoft afslører nyt hemmeligt våben mod cyberkriminalitet
- Microsoft stoppede det største DDoS-angreb, der nogensinde er rapporteret
- Microsoft forklarer i detaljer, hvordan Xbox Series X Smart Delivery vil fungere
Opgrader din livsstilDigital Trends hjælper læserne med at holde styr på den hurtige teknologiske verden med alle de seneste nyheder, sjove produktanmeldelser, indsigtsfulde redaktionelle artikler og enestående smugkig.
