زمان تقریبی مطالعه: 1 دقیقه

تاریخ: ۱۴۰۰-۰۷-۰۸
نویسنده: سهیل
مایکروسافت در مورد آخرین حمله بدافزاری هشدار میدهد و راه حل آن را میگوید

مایکروسافت اخیراً نوع دیگری از بدافزارها را پیدا کرده است که توسط مایکروسافت به نام FoggyWeb نامیده می شود و هکرها در حال حاضر از آنها برای سرقت اطلاعات کاربری شبکه از راه دور استفاده می کنند. اعتبارنامه ها به گروه مهاجمان، که شرکت آن را Nobelium نامیده است، اجازه می دهد حساب های سرورهای Active Directory Services (AD FS) را هک کرده و دسترسی کاربران به منابع مختلف را کنترل کنند.

مایکروسافت ادعا می کند که این گروه پشت حمله زنجیره تامین نرم افزار SolarWinds است که در ماه دسامبر فاش شد.

این بدافزار بعنوان یک درب پشتی برای هکرها عمل می کند و سرقت از راه دور توکن ها و گواهینامه ها را از بستر هویت مایکروسافت تسهیل می کند.

بدافزار تازه کشف شده توسط مهاجمان هنگامی مورد استفاده قرار می گیرد که سرور مورد نظر آنها از نظر امنیتی به خطر افتاده باشد. گروه هکرها از چندین تاکتیک برای دسترسی به هویت کاربران و زیرساخت های لازم برای کنترل استفاده از برنامه آنها استفاده می کند.

رامین نفیسی از مرکز اطلاعات تهدید مایکروسافت می گوید: “نوبلیوم از FoggyWeb استفاده می کند تا از راه دور پایگاه داده پیکربندی سرورهای AD FS در معرض خطر، گواهی امضای رمز گشایی شده و همچنین بارگیری و اجرای اجزای اضافی را مورد بررسی قرار دهد.”

“FoggyWeb یک درب پشتی منفعل و بسیار هدفمند است که قادر است اطلاعات حساس را از سرور AD FS به خطر بیاندازد. همچنین می تواند اجزای مخرب اضافی را از سرور فرمان و کنترل (C2) دریافت کرده و آنها را در سرور آسیب دیده اجرا کند. ”

درب پشتی که نوبلیوم موفق به عبور از آن می شود به هکر اجازه می دهد تا به توکن Security Assertion Markup Language (SAML) دسترسی داشته باشد. این نشانه برای کمک به کاربران در تأیید اعتبار برنامه ها است. هک توکن به مهاجمان اجازه می دهد حتی پس از پاکسازی های منظم داخل شبکه بمانند. در واقع، طبق گفته مایکروسافت، FoggyWeb از آوریل 2021 مورد استفاده قرار گرفته است.

مایکروسافت تعدادی ماژول مورد استفاده توسط Nobelium را کشف کرده است. این شامل اجزای GoldMax، GoldFinder و Sibot است. اینها با کمک بدافزارهای دیگری ساخته شده اند که همان گروه در استفاده از آنها مجرم شناخته شده اند. اینها عبارتند از Sunburst، Solarigate، Teardrop و Sunspot.

برای افرادی که در معرض حمله قرار می گیرند، مایکروسافت توصیه می کند زیرساخت های پیش فرض و ابری را برای پیکربندی ها و تنظیمات برای هر کاربر و هر برنامه ای را بررسی کنید. حذف دسترسی کاربر و برنامه، بررسی پیکربندی ها و صدور مجدد اعتبار جدید و قوی ؛ و استفاده از یک ماژول امنیتی سخت افزاری برای جلوگیری از سرقت اسرار FoggyWeb از سرورهای AD FS بسیار

کار آمد است.