Microsoft yakın zamanda keşfetti başka bir kötü amaçlı yazılım türüMicrosoft tarafından FoggyWeb olarak adlandırılan bilgisayar korsanlarının şu anda kullandığı ağ yöneticisi kimlik bilgilerini uzaktan çalmak için. Kimlik bilgileri, şirketin Nobelium adını verdiği saldırgan grubunun yöneticiye sızmasına olanak tanıyor Active Directory Federasyon Hizmetleri (AD FS) sunucularının hesaplarını kontrol edin ve kullanıcıların çeşitli kaynaklar.
Microsoft, bu grubun Aralık ayında ortaya çıkan SolarWinds yazılım tedarik zinciri saldırısının arkasındaki grupla aynı olduğunu iddia ediyor.
Kötü amaçlı yazılım, bilgisayar korsanları için bir arka kapı görevi görüyor ve Microsoft'un kimlik platformundaki belirteçlerin ve sertifikaların uzaktan çalınmasını kolaylaştırıyor.
İlgili
- Microsoft size virüslerden korunmanın yeni bir yolunu sundu
- Dikkat edin, bu ücretsiz Windows uygulamaları tehlikeli bir sır saklıyor
- Microsoft hacker LAPSUS $ az önce başka bir kurbanı daha iddia etti
Yeni keşfedilen kötü amaçlı yazılım, saldırganlar tarafından, hedefledikleri sunucunun güvenlik açısından güvenliği ihlal edildikten sonra kullanılıyor. Bilgisayar korsanı grubu, kullanıcıların kimliklerine ve uygulama kullanımlarının kontrolünü ele geçirmek için gerekli altyapıya erişmek için çeşitli taktikler kullanıyor.
Önerilen Videolar
Microsoft Tehdit İstihbarat Merkezi'nden Ramin Nafisi şöyle diyor: "Nobelium, FoggyWeb'i, yapılandırma veritabanına uzaktan sızmak için kullanıyor. güvenliği ihlal edilmiş AD FS sunucuları, şifresi çözülmüş belirteç imzalama sertifikası ve belirteç şifre çözme sertifikasının yanı sıra ek indirip yürütmek için bileşenler”.
FoggyWeb, güvenliği ihlal edilmiş bir AD FS sunucusundan hassas bilgileri uzaktan sızdırabilen, pasif ve yüksek oranda hedeflenmiş bir arka kapıdır. Ayrıca bir komut ve kontrol (C2) sunucusundan ek kötü amaçlı bileşenler alabilir ve bunları tehlikeye atılan sunucuda çalıştırabilir" diye ekliyor Microsoft.
Nobelium'un geçmeyi başardığı arka kapı, bilgisayar korsanının Güvenlik Onayı İşaretleme Dili (SAML) belirtecine erişmesine olanak tanıyor. Bu belirteç, kullanıcıların uygulamaların kimliğini doğrulamasına yardımcı olmak içindir. Tokenın hacklenmesi, saldırganların düzenli temizliklerden sonra bile ağ içinde kalmasına olanak tanır. Aslında Microsoft'a göre FoggyWeb Nisan 2021'den bu yana kullanılıyor.
Microsoft, Nobelium tarafından kullanılan bir dizi modülü ortaya çıkardı. Bunlar GoldMax, GoldFinder ve Sibot bileşenlerini içerir. Bunlar, aynı grubun kullanmaktan suçlu bulunduğu diğer kötü amaçlı yazılımların yardımıyla oluşturuldu. Bunlar Sunburst, Solarigate, Teardrop ve Sunspot'u içerir.
Saldırının kurbanı olan kişiler için Microsoft, yapılandırmalar ve kullanıcı başına ve uygulama başına ayarlar için şirket içi ve bulut altyapısının denetlenmesini önerir; kullanıcı ve uygulama erişiminin kaldırılması, yapılandırmaların gözden geçirilmesi ve yeni, güçlü kimlik bilgilerinin yeniden verilmesi; ve FoggyWeb'in AD FS sunucularından gizli bilgileri çalmasını önlemek için bir donanım güvenlik modülü kullanmak.
Editörlerin Önerileri
- Microsoft, Çinli bilgisayar korsanlarının kritik ABD altyapısını hedef aldığı konusunda uyardı
- Microsoft, binlerce Nvidia GPU'nun ChatGPT'yi nasıl geliştirdiğini açıklıyor
- Microsoft siber suçlara karşı yeni gizli silahını ortaya koyuyor
- Microsoft bugüne kadar bildirilen en büyük DDoS saldırısını durdurdu
- Microsoft, Xbox Series X Akıllı Teslimatın nasıl çalışacağını ayrıntılı olarak açıklıyor
Yaşam tarzınızı yükseltinDigital Trends, en son haberler, eğlenceli ürün incelemeleri, anlayışlı başyazılar ve türünün tek örneği olan ön bakışlarla okuyucuların teknolojinin hızlı tempolu dünyasını takip etmelerine yardımcı olur.
