FoggyWeb バックドア検出
目次:
Microsoftは最近、2021年春以来、悪名高いNOBELIUM APTグループによって利用されていたもう一つのマルウェアを発見しました。この新たな脅威はFoggyWebと名付けられ、Active Directory Federation Services (AD FS)サーバーから情報を抽出できるポストエクスプロイトバックドアとして機能します。マルウェアは、世界中の複数の組織に対するターゲット攻撃で使用され、何ヶ月も気づかれずにいました。
NOBELIUM APT
NOBELIUMは、サイバー脅威の場で比較的新しいプレイヤーで、APTの活動の最初の赤信号は2019年末にまでさかのぼります。それ以来、NOBELIUMは、高度なカスタムマルウェアサンプルのバッチを駆使して画期的な攻撃を進めている非常に洗練されたハッカー集団としての評判を獲得しました。
Microsoftによると、NOBELIUM APTは SolarWindsサプライチェーン攻撃 and 標的型スピアフィッシングキャンペーン を世界中の主要政府機関やNGOに対して行いました。また、このグループはSunburst、Sunspot、Teardropという悪名高いマルウェアサンプルを開発しました。 Goldmax, Sibot, and GoldFinder.
NOBELIUMは悪名高いロシア国家支援のAPT29グループ(Cozy Bear, The Dukes)の活発なユニットとされており、ロシアの外国情報庁(SVR)を代表して活動しています。
FoggyWebとは?
NOBELIUMのツールキットの他のサンプルと同様に、FoggyWebはターゲットを絞ったパッシブバックドアで、侵害されたAD FSサーバーで管理者レベルのアクセスを得るために適用されます。それは通常、ユーザー認証をスムーズに行うために適用されるSecurity Assertion Markup Language(SAML)トークンを悪用して、AD FSリソースへの永続的なアクセスを得ることができます。SAML標準の悪用は、NOBELIUM APTにとって新しいものではありません。以前にこのグループは Golden SAML攻撃 の手法を利用して、SolarWindsハッキングに関連する妥協を拡大することを確認されています。
敵がAD FSサーバーへの初期アクセスを得ると、FoggyWebを展開して設定データベース、復号化されたトークンサイニング証明書、およびトークン復号化証明書を取得します。この非常に機密性の高いデータにより、ハッカーは組織インフラ内の従業員のクラウドアカウントに浸透することが可能になります。
データの抽出機能に加えて、FoggyWebは攻撃者のコマンド・アンド・コントロール(C&C)サーバーから受信した追加の悪意のあるコードを実行することも可能です。 Microsoft Threat Intelligence Center(MSTIC)による分析 が詳細です。
FoggyWebバックドアの検出
インフラに対する攻撃の可能性を検出し、FoggyWeb感染を防ぐために、私たちの優れたThreat Bounty寄稿者が共有しているコミュニティSigmaルールをダウンロードすることができます Nattatorn Chuensangarun.
AD FSサーバーをターゲットにしたFoggyWebバックドア
このルールは、組織内のAD FSサーバーを監視し、NOBELIUMの悪意ある活動に関連する特定のファイルの存在を確認します。
検出は次のSIEMセキュリティ分析プラットフォーム向けに翻訳されています: Azure Sentinel, ELK Stack, Chronicle Security, Splunk, Sumo Logic, ArcSight, QRadar, Humio, Microsoft Defender ATP, FireEye, Carbon Black, LogPoint, Graylog, Regex Grep, Microsoft PowerShell, RSA NetWitness, Apache Kafka ksqlDB, Securonix。
このルールはMITRE ATT&CKのメソドロジーにマッピングされており、初期アクセスの戦術とExploit Public-Facing Applications技術(t1190)、およびCredential Accessの戦術とSAMLトークンサブ技術(t1606.002)に対応するForge Web Credentials技術(t1606)に対応しています。
また、組織内インフラにFoggyWebバックドアの存在を確認するために、以下のコミュニティSigma行動ベースのルールをダウンロードすることができます Florian Roth.
このルールは、FoggyWebバックドアローダーによって使用されるDLLイメージロード活動を検出します。
検出は次のSIEMセキュリティ分析プラットフォーム向けに翻訳されています: Azure Sentinel, ELK Stack, Chronicle Security, Splunk, Sumo Logic, ArcSight, QRadar, Humio, Microsoft Defender ATP, FireEye, Carbon Black, LogPoint, Graylog, Regex Grep, Microsoft PowerShell, RSA NetWitness, Apache Kafka ksqlDB, Securonix, Qualys。
会社の資産内でFoggyWebの存在が確認された場合は、Microsoftが提供するベストプラクティスに基づく一連の緩和手順に従うことができます アドバイザリー.
SOC Primeプラットフォームを探索して、サイバーセキュリティの経験を次のレベルに引き上げましょう。20以上のサポートされているSIEM XDRテクノロジー内で瞬時に最新の脅威をハントし、悪用された脆弱性とMITRE ATT&CKマトリックスの文脈で最新の攻撃に対する認識を高め、グローバルなサイバーセキュリティコミュニティから匿名のフィードバックを受けつつ、セキュリティオペレーションを効率化します。自分で検出コンテンツを作成し、貢献に対して報酬を得たいですか?Threat Bounty Programに参加しましょう!
