مایکروسافت یک بدافزار در پشتی جدید کشف کرده است که مورد استفاده گروه هکرهای نوبلیوم است. این بدافزار، پیلود دیگری را بارگذاری میکند که کار آن سرقت اطلاعات از سرورهای Active Directory Federation Services است.

سرور Active Directory Federation Services یا AD FS، راهکاری برای احراز هویت است که توسط مایکروسافت عرضه میشود و یکی از مولفه های ویندوز سرور است. AD FS، امکان Single Sign On را برای اپلیکیشن ها و سرویس هایی فراهم میکند که ممکن است خارج از مرزهای سازمان واقع شده باشند.

اکنون مایکروسافت از کشف یک در پشتی به نام FoggyWeb خبر میدهد که اطلاعاتی را از AD FS سرقت میکند. این بدافزار مورد استفاده گروه نوبلیوم است که به نامهای APT29، Cozy Bear و The Dukes نیز خوانده میشود. نوبلیوم همان گروه از هکرهای وابسته به روسیه است که در حمله سولاریگیت نقش داشتند. در آن حمله، مهاجمان با دستکاری کد نرم افزار سولارویندز، موفق به سرقت اطلاعات بسیاری از سازمانها و شرکتها آمریکایی شده بودند.

بیشتر بخوانید: سولاریگیت و دسترسی مهاجمان به کد منبع مایکروسافت

بدافزار جدید که توسط مایکروسافت FoggyWeb نامیده شده است، یک در پشتی بسیار هدفمند است که از توکن های SAML (Security Assertion Markup Language) سوء استفاده میکند. نوبلیوم با استفاده از FoggyWeb، به سرقت اطلاعات میپردازد. اطلاعات سرقت شده شامل پیکربندی پایگاه داده AD FS، گواهی رمزگشایی شده امضاکننده توکن (token-signing certificate) و گواهی رمزگشایی توکن (token-decryption certificate) است. به علاوه، از این در پشتی برای نصب مولفه های بیشتر و اجرای دستورات مورد نظر مهاجمان به کار میرود.

این در پشتی، از نوع منفعل است، بدین معنی که به طور فعال با سرور کنترل و فرمان تماس نمیگیرد. بلکه منتظر تماس از جانب مهاجم میماند. طبق گفته مایکروسافت، FoggyWeb از آوریل 2021 مشغول فعالیت بوده است.

FoggyWeb گوش دهنده هایی (listener) را برای URIهای تعریف شده توسط مهاجم تنظیم میکند. در واقع کاربر عادی، برای ارتباط با AD FS از درخواست های HTTP استفاده میکند. مهاجم نیز برای برقراری ارتباط با در پشتی از درخواست های HTTP با قالب خاصی استفاده میکند. هنگامی که درخواست دریافت شده دارای این قالب خاص باشد، توسط بدافزار تفسیر و اجرا میشود.

نکاتی برای دفاع در برابر FoggyWeb

مایکروسافت به مشتریانی که مورد هدف یا حمله قرار گرفته اند، اطلاع رسانی کرده است. به سازمانهایی که احتمال میدهند مورد حمله واقع شده باشند نیز، توصیه میشود:

• زیرساخت درون سازمانی و ابری خود را بررسی کنند تا متوجه تغییرات احتمالی شوند. ممکن است مهاجمان برای حفظ دسترسی خود، تنظیمات مربوط به کاربران، اپ ها، قوانین ارسال (forwarding rules) و … را دستکاری کرده باشند.
• دسترسی کاربران و اپ ها حذف شود، پیکربندی هر کدام از آنها مرور شود و مجددا اعتبارنامه های جدید و قوی برای آنها تنظیم شود.
• طبق مطلب امن سازی سرورهای AD FS، از ماژول امنیت سخت افزاری (HSM) استفاده شود تا اطلاعات سرّی توسط FoggyWeb به بیرون ارسال نشود.

در ماه می نیز پژوهشگران مایکروسافت چهار بدافزار دیگر را معرفی کرده بودند که در حملات نوبلیوم مورد استفاده قرار گرفته بودند. یک دانلودر به نام BoomBox، یک پیوست HTML به نام EnvyScout، یک دانلودر شل کد به نام VaporRage و یک بارگذاری کننده به نام NativeZone.

آنها در ماه مارس نیز سه گونه بدافزاری دیگر از این گروه را معرفی کردند. یک در پشتی کنترل و فرمان به نام GoldMax، یک ابزار مانایی به نام Sibot و یک ابزار ردگیری HTTP به نام GoldFinder.