Entdeckung der FoggyWeb-Hintertür
Inhaltsverzeichnis:
Microsoft hat kürzlich ein weiteres Stück Malware aufgedeckt, das von der berüchtigten NOBELIUM APT-Gruppe seit dem Frühjahr 2021 genutzt wird. Die neue Bedrohung, namens FoggyWeb, fungiert als Post-Exploitation-Backdoor, die in der Lage ist, Informationen von Active Directory Federation Services (AD FS)-Servern zu exfiltrieren. Die Malware wurde in gezielten Angriffen gegen mehrere Organisationen weltweit eingesetzt, während sie monatelang unbemerkt blieb.
NOBELIUM APT
NOBELIUM ist ein relativ neuer Akteur im Bereich der Cyberbedrohungen, mit ersten Warnzeichen der APT-Aktivitäten, die auf das Ende des Jahres 2019 zurückgehen. Seitdem hat NOBELIUM sich einen Ruf als hoch entwickelte Hackergruppe erworben, die eine beeindruckende Reihe von maßgeschneiderten Malware-Proben einsetzt, um epochale Angriffe durchzuführen.
Laut Microsoft steht NOBELIUM APT hinter dem SolarWinds Lieferkettenangriff and gezielten Spear-Phishing-Kampagne gegen führende Regierungsbehörden und NGOs weltweit. Außerdem hat diese Gruppe solch berüchtigte Malware-Proben wie Sunburst, Sunspot, Teardrop Goldmax, Sibot und GoldFinder.
NOBELIUM gilt als eine aktive Einheit der berüchtigten russischen staatlich geförderten APT29-Gruppe (Cozy Bear, The Dukes), die im Auftrag des russischen Auslandsgeheimdienstes (SVR) arbeitet.
Was ist FoggyWeb?
Ähnlich wie andere Proben im NOBELIUM-Toolkit ist FoggyWeb eine hochzielgerichtete, passive Backdoor, die angewendet wird, um Administratorzugriff auf die kompromittierten AD FS-Server zu erlangen. Sie ist in der Lage, das Security Assertion Markup Language (SAML)-Token zu missbrauchen, das normalerweise für eine reibungslose Benutzerautorisierung verwendet wird, um einen dauerhaften Zugriff auf AD FS-Ressourcen zu erhalten. Das Ausnutzen des SAML-Standards ist für die NOBELIUM APT nicht neu. Zuvor wurde die Gruppe dabei beobachtet, die Golden SAML Attacke Methode anzuwenden, um einen Kompromiss im Zusammenhang mit dem SolarWinds-Hack zu skalieren.
Sobald Angreifer zu Beginn Zugriff auf den AD FS-Server erlangen, setzen sie FoggyWeb ein, um die Konfigurationsdatenbank, entschlüsselte Token-Signierzertifikate und Token-Entschlüsselungszertifikate zu erbeuten. Diese hochsensiblen Daten ermöglichen es Hackern, auf Cloud-Konten von Mitarbeitern innerhalb der organisatorischen Infrastruktur zuzugreifen.
Neben der Funktionalität zur Datenexfiltration kann FoggyWeb auch zusätzlichen schädlichen Code ausführen, der vom Kommando- und Kontrollserver (C&C) der Angreifer empfangen wird, wie die Analyse durch das Microsoft Threat Intelligence Center (MSTIC) ausführt.
Erkennung der FoggyWeb Backdoor
Um mögliche Angriffe auf Ihre Infrastruktur zu erkennen und eine FoggyWeb-Infektion zu verhindern, können Sie eine Community-Sigma-Regel herunterladen, die von unserem produktiven Threat Bounty-Mitwirkenden Nattatorn Chuensangarun.
FoggyWeb Backdoor, die AD FS Server ins Visier nimmt
Diese Regel überwacht die AD FS-Server innerhalb der Organisation und erkennt das Vorhandensein spezifischer Dateien, die mit NOBELIUM bösartigen Aktivitäten in Verbindung stehen.
Die Erkennung hat Übersetzungen für die folgenden SIEM SECURITY ANALYTICS-Plattformen: Azure Sentinel, ELK Stack, Chronicle Security, Splunk, Sumo Logic, ArcSight, QRadar, Humio, Microsoft Defender ATP, FireEye, Carbon Black, LogPoint, Graylog, Regex Grep, Microsoft PowerShell, RSA NetWitness, Apache Kafka ksqlDB, Securonix.
Die Regel ist mit der MITRE ATT&CK-Methodik verbunden und adressiert die Taktiken des Erstzugriffs und die Technik der Ausnutzung öffentlicher Anwendungen (t1190) sowie die Taktiken des Zugang zu Anmeldeinformationen und die Subtechnik der SAML-Token (t1606.002) der Forge Web Credentials Technik (t1606).
Um das Vorhandensein der FoggyWeb-Backdoor in der organisatorischen Infrastruktur zu erkennen, können Sie auch eine Community-Sigma regelbasierte Regel herunterladen, die von Florian Roth.
Diese Regel erkennt die DLL-Bildladeaktivität, wie sie vom FoggyWeb-Backdoor-Loader verwendet wird.
Die Erkennung hat Übersetzungen für die folgenden SIEM SECURITY ANALYTICS-Plattformen: Azure Sentinel, ELK Stack, Chronicle Security, Splunk, Sumo Logic, ArcSight, QRadar, Humio, Microsoft Defender ATP, FireEye, Carbon Black, LogPoint, Graylog, Regex Grep, Microsoft PowerShell, RSA NetWitness, Apache Kafka ksqlDB, Securonix, Qualys.
Falls das Vorhandensein von FoggyWeb in Ihren Unternehmensressourcen festgestellt wurde, können Sie eine Reihe von Minderungsmaßnahmen befolgen, die von Microsoft in ihren bewährten Verfahren bereitgestellt werden Hinweis.
Entdecken Sie die SOC Prime-Plattform, um Ihr Cybersicherheits-Erlebnis auf die nächste Stufe zu heben. Suchen Sie sofort nach den neuesten Bedrohungen innerhalb von über 20 unterstützten SIEM-XDR-Technologien, steigern Sie das Bewusstsein für alle neuesten Angriffe im Kontext von ausgenutzten Schwachstellen und MITRE ATT&CK-Matrix und optimieren Sie Ihre Sicherheitsoperationen, während Sie anonymisiertes Feedback aus der globalen Cybersicherheits-Community erhalten. Enthusiastisch auf der Suche danach, eigene Erkennungsinhalte zu erstellen und Geld für Ihren Beitrag zu verdienen? Machen Sie mit bei unserem Threat Bounty Program!
