데이터 도용에 대한 Nobelium ADFS 서버 백도어 해커


마이크로소프트는 노벨리움 해킹 그룹이 추가 페이로드를 배포하고 AD FS(Active Directory Federation Services) 서버에서 중요한 정보를 수집 및 추출하는 데 사용하는 새로운 맬웨어를 발견했습니다.

작년에 여러 미국 연방 기관의 손상으로 이어진 SolarWinds 공급망 공격의 배후에 있는 위협 행위자인 Nobelium은 일반적으로 APT29, The Dukes 또는 Cozy Bear로 알려진 러시아 SVR(Foreign Intelligence Service)의 해킹 부서입니다.

지난 4월 미국 정부는 SVR 부서가 '대규모 사이버 스파이 활동'을 벌이고 있다고 공식 비난했다.



사이버 보안 회사인 Volexity는 2018년으로 거슬러 올라가는 이전 사건에서 볼 수 있는 전술을 기반으로 APT29 운영자와 공격을 연결했습니다.

2021년 4월부터 야생에서 사용

MSTIC(Microsoft Threat Intelligence Center)의 연구원들이 명명한 맬웨어 포기웹 , SAML(Security Assertion Markup Language) 토큰을 남용하는 '수동적이고 고도로 표적화된' 백도어입니다.

이는 URI 템플릿과 일치하는 AD FS 서버로 전송된 GET/POST 요청을 가로채도록 행위자 정의 URI에 대한 HTTP 수신기를 구성하여 공격자가 손상된 AD FS 서버에서 원격으로 중요한 정보를 추출할 수 있도록 설계되었습니다. 개인화.

MS는 'NOBELIUM은 FoggyWeb을 사용하여 손상된 AD FS 서버의 구성 데이터베이스, 암호 해독된 토큰 서명 인증서 및 암호 해독된 토큰 인증서를 원격으로 추출하고 플러그인을 다운로드하고 실행합니다.

'또한 명령 및 제어(C2) 서버에서 추가 악성 구성 요소를 수신하여 손상된 서버에서 실행할 수 있습니다.'

FoggyWeb은 SAML 토큰의 남용을 허용하는 영구 백도어로 작동합니다. 사용자 정의 URI 템플릿과 일치하는(인터넷/인트라넷에서) AD FS 서버로 전송된 GET/POST 요청을 가로채도록 행위자 정의 URI에 대한 HTTP 수신기를 구성합니다.

러시아 국가 해커는 2021년 4월부터 야생에서 FoggyWeb 백도어를 사용하는 것이 관찰되었습니다.

FoggyWeb 백도어 통신

FoggyWeb 백도어 통신(Microsoft)

FoggyWeb 방어 팁

Microsoft는 이미 고객에게 이 백도어가 공격을 받거나 손상되었다는 알림을 받았습니다.

침해 또는 침해되었다고 생각하는 조직은 다음을 수행하는 것이 좋습니다.

  • 설정, 사용자별 및 앱별 설정, 전달 규칙 및 행위자가 액세스를 유지하기 위해 수행했을 수 있는 기타 변경 사항을 포함하여 온프레미스 및 클라우드 인프라를 확인합니다.
  • 문서화된 업계 모범 사례에 따라 사용자 및 애플리케이션 액세스를 제거하고, 각각에 대한 구성을 검토하고, 새로운 강력한 자격 증명을 릴리스하십시오.
  • AD FS 서버 보안에 설명된 대로 하드웨어 보안 모듈(HSM)을 사용하여 FoggyWeb이 비밀을 추출하지 못하도록 합니다.

지난 5월 마이크로소프트 연구원들은 'BoomBox'라는 다운로더, 'EnvyScout'라는 HTML 첨부 파일, 'VaporRage'라는 셸코드 다운로더 및 실행 프로그램, 알려진 충전기 등 4가지 다른 악성코드군을 공격에 사용했다고 밝혔습니다. '네이티브 지역'으로,

그들은 3월에 계층적 지속성에 사용된 세 가지 다른 노벨리움 멀웨어 변종인 'GoldMax'라는 명령 및 제어 백도어, 'Sibot'이라는 지속성 도구 및 멀웨어 드롭퍼, HTTP 추적 도구에 대해 자세히 설명했습니다.

어떻게 생각해?