마이크로소프트가 최근 발견한 또 다른 유형의 악성코드, Microsoft에서 FoggyWeb이라는 이름을 붙였습니다. 해커들이 현재 사용하고 있는 네트워크 관리자 자격 증명을 원격으로 훔치기 위해. 자격 증명을 통해 회사에서 Nobelium이라고 부르는 공격자 그룹이 관리자를 해킹할 수 있습니다. Active Directory Federation Services(AD FS) 서버의 계정을 관리하고 다양한 액세스에 대한 사용자 액세스를 제어합니다. 자원.
Microsoft는 이 그룹이 12월에 밝혀진 SolarWinds 소프트웨어 공급망 공격의 배후와 동일한 그룹이라고 주장합니다.
이 악성 코드는 해커의 백도어 역할을 하며 Microsoft의 ID 플랫폼에서 토큰과 인증서를 원격으로 도용하는 데 도움을 줍니다.
관련된
- Microsoft는 바이러스로부터 안전을 유지할 수 있는 새로운 방법을 제공했습니다.
- 이 무료 Windows 앱에는 위험한 비밀이 숨겨져 있습니다.
- Microsoft 해커 LAPSUS$가 또 다른 피해자를 주장했습니다.
새로 발견된 악성 코드는 공격자가 표적으로 삼고 있는 서버가 보안 측면에서 이미 손상된 후에 사용됩니다. 해커 그룹은 여러 가지 전술을 사용하여 사용자의 신원과 앱 사용을 제어하는 데 필요한 인프라에 액세스합니다.
추천 동영상
Microsoft Threat Intelligence Center의 Ramin Nafisi는 다음과 같이 말합니다. “Nobelium은 FoggyWeb을 사용하여 구성 데이터베이스를 원격으로 유출합니다. 손상된 AD FS 서버, 복호화된 토큰 서명 인증서, 토큰 복호화 인증서뿐만 아니라 추가 다운로드 및 실행 구성 요소”.
“FoggyWeb은 손상된 AD FS 서버에서 민감한 정보를 원격으로 유출할 수 있는 수동적이고 고도로 표적화된 백도어입니다. 또한 명령 및 제어(C2) 서버로부터 추가 악성 구성 요소를 수신하여 손상된 서버에서 실행할 수도 있습니다.”라고 Microsoft는 덧붙입니다.
Nobelium이 통과할 수 있는 백도어를 통해 해커는 SAML(Security Assertion Markup Language) 토큰에 액세스할 수 있습니다. 이 토큰은 사용자가 앱을 인증하는 데 도움을 주기 위한 것입니다. 토큰을 해킹하면 공격자가 정기적인 정리 후에도 네트워크 내부에 머물 수 있습니다. 실제로 마이크로소프트에 따르면 FoggyWeb은 2021년 4월부터 사용됐다.
Microsoft는 Nobelium에서 사용되는 여러 모듈을 발견했습니다. 여기에는 GoldMax, GoldFinder 및 Sibot 구성 요소가 포함됩니다. 이는 동일한 그룹이 사용한 것으로 밝혀진 다른 악성 코드의 도움을 받아 구축되었습니다. 여기에는 Sunburst, Solarigate, Teardrop 및 Sunspot이 포함됩니다.
공격의 희생양이 되는 사람들을 위해 Microsoft는 구성, 사용자별 및 앱별 설정에 대해 온프레미스 및 클라우드 인프라를 감사할 것을 권장합니다. 사용자 및 앱 액세스 제거, 구성 검토, 새롭고 강력한 자격 증명 재발급 FoggyWeb이 AD FS 서버에서 비밀을 훔치는 것을 방지하기 위해 하드웨어 보안 모듈을 사용합니다.
편집자의 추천
- 마이크로소프트, 미국의 중요한 인프라를 표적으로 삼는 중국 해커들 경고
- Microsoft가 수천 대의 Nvidia GPU로 ChatGPT를 구축한 방법을 설명합니다.
- 마이크로소프트, 사이버 범죄에 맞서는 새로운 비밀 무기 공개
- Microsoft는 지금까지 보고된 최대 규모의 DDoS 공격을 중단했습니다.
- Microsoft는 Xbox Series X Smart Delivery의 작동 방식을 자세히 설명합니다.
당신의 라이프스타일을 업그레이드하세요Digital Trends는 독자들이 모든 최신 뉴스, 재미있는 제품 리뷰, 통찰력 있는 사설 및 독특한 미리보기를 통해 빠르게 변화하는 기술 세계를 계속해서 살펴볼 수 있도록 도와줍니다.
