Microsoft: Το Nobelium χρησιμοποιεί προσαρμοσμένο κακόβουλο λογισμικό για να δημιουργήσει backdoor στα Windows!

Η Microsoft ανακάλυψε νέο κακόβουλο λογισμικό που χρησιμοποιήθηκε από την ομάδα χάκερ Nobelium για να αναπτύξει επιπλέον ωφέλιμα φορτία και να κλέψει ευαίσθητες πληροφορίες από διακομιστές Active Directory Federation Services (AD FS).

Το Nobelium, ο φορέας απειλής πίσω από την επίθεση της αλυσίδας εφοδιασμού SolarWinds του περασμένου έτους που οδήγησε σε συμβιβασμό αρκετών αμερικανικών ομοσπονδιακών οργανισμών, είναι από το τμήμα χάκερ της Ρωσικής Υπηρεσίας Εξωτερικών Πληροφοριών (SVR), κοινώς γνωστό ως APT29, The Dukes ή Cozy Bear.

Τον Απρίλιο, η κυβέρνηση των Ηνωμένων Πολιτειών κατηγόρησε επίσημα το τμήμα SVR ότι πραγματοποίησε “την ευρεία εκστρατεία κατασκοπείας στον κυβερνοχώρο”.

Η εταιρεία κυβερνοασφάλειας Volexity συνέδεσε επίσης τις επιθέσεις με χειριστές APT29 βάσει τακτικών που παρατηρήθηκαν σε προηγούμενα περιστατικά που πήγαιναν πίσω στο 2018.

Το κακόβουλο λογισμικό, που ονομάστηκε από τους ερευνητές του Microsoft Threat Intelligence Center (MSTIC) FoggyWeb, είναι μια «παθητική και εξαιρετικά στοχευμένη» πίσω πόρτα που καταχράζει το διακριτικό της Ασφάλειας Ασφαλείας Σήμανσης (SAML).

Έχει σχεδιαστεί για να βοηθά τους επιτιθέμενους να απομακρύνουν απομακρυσμένα ευαίσθητες πληροφορίες από παραβιασμένους διακομιστές AD FS διαμορφώνοντας ακροατές HTTP για URI που ορίζονται από τον ηθοποιό για να υποκλέπτουν αιτήματα GET/POST που αποστέλλονται στον διακομιστή AD FS που ταιριάζουν με τα προσαρμοσμένα μοτίβα URI.

“Το NOBELIUM χρησιμοποιεί το FoggyWeb για να απομακρύνει εξ αποστάσεως τη βάση δεδομένων διαμόρφωσης παραβιασμένων διακομιστών AD FS, αποκρυπτογραφημένο πιστοποιητικό υπογραφής συμβολαίου και πιστοποιητικό διακριτικής αποκρυπτογράφησης, καθώς και για λήψη και εκτέλεση πρόσθετων στοιχείων”, δήλωσε η Microsoft.

“Μπορεί επίσης να λάβει επιπλέον κακόβουλα στοιχεία από τον διακομιστή εντολών και ελέγχου (C2) και να τα εκτελέσει σε διακομιστή που έχει παραβιαστεί.”

Το FoggyWeb λειτουργεί ως μια επίμονη backdoor που επιτρέπει την κατάχρηση των μαρκών SAML και ρυθμίζει τους ακροατές HTTP για URI που καθορίζονται από τους ηθοποιούς να υποκλέπτουν αιτήματα GET/POST που αποστέλλονται στον διακομιστή AD FS που ταιριάζουν με τα προσαρμοσμένα μοτίβα URI.

Οι Ρώσοι κρατικοί χάκερ έχουν παρατηρηθεί να χρησιμοποιούν την πίσω πόρτα FoggyWeb στην “άγρια ​​φύση” από τον Απρίλιο του 2021.

Συμβουλές άμυνας απέναντι στο FoggyWeb

Η Microsoft έχει ήδη ειδοποιήσει τους πελάτες που στοχοποιήθηκαν ή παραβιάστηκαν χρησιμοποιώντας αυτήν την πίσω πόρτα.

Οι οργανισμοί που πιστεύουν ότι έχουν παραβιαστεί, συνιστάτε να κάνουν τα εξής:

  • Έλεγχος εσωτερικής υποδομής και υποδομής cloud, συμπεριλαμβανομένων των ρυθμίσεων διαμόρφωσης, ανά χρήστη και ανά εφαρμογή, κανόνες προώθησης και άλλες αλλαγές που μπορεί να έχει κάνει ο ηθοποιός για να διατηρήσει την πρόσβασή του
  • Καταργήστε την πρόσβαση των χρηστών και των εφαρμογών, ελέγξτε τις διαμορφώσεις για κάθε ένα και εκδώστε ξανά νέα, ισχυρά διαπιστευτήρια, ακολουθώντας τεκμηριωμένες βέλτιστες πρακτικές του κλάδου.
  • Χρησιμοποιήστε μια μονάδα ασφαλείας υλικού (HSM) όπως περιγράφεται στην ασφάλεια των διακομιστών AD FS για να αποτρέψετε την απομάκρυνση μυστικών από το FoggyWeb.

[su_button url=”https://itechnews.gr/2020/04/itechnews-gr-tora-pia-episima-kai-sta-google/” target=”blank” style=”bubbles” background=”#5d9e17″ color=”#ffffff” size=”10″ wide=”yes” center=”yes” radius=”20″ icon=”https://itechnews.gr/wp-content/uploads/2021/08/google_news.jpg” icon_color=”#060606″ text_shadow=”2px 2px 2px #000000″ rel=”lightbox”]Ακολουθήστε το iTechNews.gr στο Google News! Παρακολουθήστε τα τελευταία νέα, τάσεις, αξεσουάρ και παρουσιάσεις[/su_button]

Τον Μάιο, οι ερευνητές της Microsoft αποκάλυψαν επίσης τέσσερις άλλες οικογένειες κακόβουλου λογισμικού που χρησιμοποίησε το Nobelium στις επιθέσεις τους: ένα πρόγραμμα λήψης γνωστό ως «BoomBox», ένα συνημμένο HTML που ονομάζεται «EnvyScout», ένα πρόγραμμα λήψης κώδικα και εκτοξευτή κελύφους με το όνομα «VaporRage» και ένας φορτωτής γνωστός ως « NativeZone, ‘

Περιέγραψαν τρία ακόμη στελέχη κακόβουλου λογισμικού Nobelium που χρησιμοποιήθηκαν για την πολυεπίπεδη επιμονή τον Μάρτιο: μια πίσω πόρτα εντολών και ελέγχου που ονομάστηκε «GoldMax», ένα εργαλείο επιμονής και κακόβουλο λογισμικό που ονομάζεται «Sibot» και ένα εργαλείο ιχνηλάτησης HTTP που εντοπίζεται ως «GoldFinder».

 

[signoff]

 

Πηγή

ΣΧΕΤΙΚΑ ΑΡΘΡΑ

Leave a reply

εισάγετε το σχόλιό σας!
παρακαλώ εισάγετε το όνομά σας εδώ

ΠΡΟΣΦΑΤΑ ΑΡΘΡΑ

Υποχρεωτική η παρακολούθηση οδηγού σε όλα τα νέα αυτοκίνητα στην ΕΕ

Η Ευρωπαϊκή Ένωση περνά σε μια νέα εποχή για την οδική ασφάλεια, καθώς η τεχνολογία παρακολούθησης οδηγού γίνεται υποχρεωτική για όλα τα νέα οχήματα...

Netflix: Επισήμως με νέο είδος περιεχομένου

Το Netflix φαίνεται να θέλει να επεκταθεί ακόμη περισσότερο σε ένα νέο είδος περιεχομένου, εκείνο των βίντεο με μικρή διάρκεια. Η streaming πλατφόρμα έχει συνάψει...

Τα νέα φωνητικά μοντέλα του ChatGPT μπορούν να «ακούνε» και να «μιλούν» ταυτόχρονα

Τα νέα φωνητικά μοντέλα GPT-Live που φέρνει η OpenAI στο ChatGPT μπορούν να «ακούνε» και να «μιλούν» ταυτόχρονα, επιτρέποντας για πρώτη φορά ζωντανή μετάφραση...

Η θύρα USB-C του laptop σου κρύβει 5 λειτουργίες που αγνοείς

Ορισμένες θύρες USB-C κάνουν μόνο μία δουλειά τη φορά — είτε παίρνουν ρεύμα είτε δίνουν. Άλλες, όμως, είναι πιο έξυπνες: μέσω του πρωτοκόλλου USB...

Samsung Pay: Ήρθε επιτέλους στην Ελλάδα — δες αν η τράπεζά σου το υποστηρίζει

Η Samsung Electronics Ελλάδας ανακοίνωσε την επίσημη διάθεση του Samsung Pay στη χώρα, μέσω του Samsung Wallet, δίνοντας στους κατόχους συμβατών Galaxy συσκευών τη...

ΤΕΛΕΥΤΑΙΕΣ ΠΡΟΣΦΟΡΕΣ

Με 30.000 DPI… Razer Pro Click V2, Ασύρματο Gaming Ποντίκι, RGB, Εργονομικό, Ai & Macros και Στην Καλύτερη Τιμή EVER από Ελλάδα (βίντεο)

Όταν κάτι αφορά την δουλειά σου πάνω απ' όλα πάντα προτείνω να διαθέσεις κάτι "παραπάνω" γιατί σίγουρα θα σου τα γυρίσει πίσω πολλές φορές. Έτσι...

Xiaomi MIJIA Youth Edition2S: Ο πιο “ΤΣΑΜΠΑ” Επώνυμος DLP προτζέκτορας είναι εδώ… στα 297€ ΚΟΜΠΛΕ (βίντεο)

Βίντεο Σύγκρισής  Xiaomi MIJIA Youth Edition2S (DLP) VS Wanbo T2 MAX New (LED) Είναι ο 5ος DLP Προτζέκτορας που φέρνω στο κανάλι ανάμεσα σε 10άδες...

Κάνε Δική σου… την Δική μου Action Camera! Η Insta360 Ace Pro 2, στο “Καλύτερο” Bandle και Τιμή από ΕΛΛΑΔΑ!!!! (βίντεο)

Την έχεις δει να πρωταγωνιστεί σε πολλά από τα βίντεο μου και είναι η αγαπημένη μου γιατί απλά κάνει τα "πάντα" και τα κάνει...

Το “Απόλυτο” VFM και καλύτερο Power Station Στα 1800W (3600W Peak), 1024Wh και 0,01sec UPS… Στα 367€ ΚΟΜΠΛΕ (Βίντεο)

Μετά από δική σας προτροπή και 6 μήνες δοκιμών μπορώ πλέον να ανεβάζω το βίντεο και να πω με ασφάλεια ότι δουλεύει άψογα. Προσωπικά δεν...

Govee Gaming Pixel Light: RETRO Αισθητική 80s και 90s Στο Gaming Γραφείο σου… Κάνει ΠΟΛΛΑ και από 65€ ΚΟΜΠΛΕ θα το Λατρέψεις! (βίντεο)

Είναι Retro είναι πανέμορφο, κάνει πολλά και στοιχίζει τα λιγότερα χρήματα από ποτέ... Όλοι λατρεύουμε την Govee αλλά δεν μπορούμε να την αγγίξουμε πάντα! Το βίντεο...