Aralık ayında SolarWinds yazılım tedarik zinciri saldırısını gerçekleştiren saldırganların kullandığı bir başka kötü amaçlı yazılım parçası Foggyweb Microsoft tarafından tespit edildi.
Araştırmacılar, Microsoft’un Nobelium olarak adlandırdığı saldırı grubu tarafından kullanılan bir dizi modül keşfetti. ABD ve İngiltere, Nisan ayındaki saldırının sorumluluğunu resmi olarak APT29, Cozy Bear ve The Dukes olarak da bilinen Rus Dış İstihbarat Servisi (SVR) hack birimiyle suçladı.
FoggyWeb, davetsiz misafirler için kalıcı bir arka kapı oluşturabilir
FoggyWeb adlı bu kötü amaçlı yazılım, davetsiz misafirlerin hedeflenen bir sunucuya erişim sağladıktan sonra kullandığı bir arka kapı oluşturur. Bu senaryoda, ekip, yönetici düzeyinde erişim elde etmek için Active Directory Federasyon Hizmetleri (AD FS) sunucusu kullanıcı adlarını ve parolalarını çalmak için bir dizi önlem kullanır. Saldırgan, ana önyükleme kaydının üzerine yazarak, temizleme işleminden sonra ağ içinde kalabilir. Microsoft’a göre, Nisan 2021’den bu yana FoggyWeb tehlikesi devam ediyor.
“Nobelium, güvenliği ihlal edilmiş AD FS sunucularının yapılandırma veritabanını, şifresi çözülmüş belirteç imzalama sertifikasını ve belirteç şifre çözme sertifikasını uzaktan sızdırmak ve ek bileşenleri indirmek ve yürütmek için FoggyWeb’i kullanıyor… FoggyWeb, güvenliği ihlal edilmiş bir AD FS sunucusundan hassas bilgileri uzaktan sızdırma yeteneğine sahip, pasif ve yüksek oranda hedeflenmiş bir arka kapıdır. Ayrıca bir komut ve kontrol (C2) sunucusundan ek kötü amaçlı bileşenler alabilir ve bunları güvenliği ihlal edilmiş sunucuda çalıştırabilir”
-Microsoft Tehdit İstihbarat Merkezi’nden Ramin Nafisi
Kötü amaçlı yazılım tarafından açılan arka kapı, bir saldırganın, kullanıcıların uygulamalarda oturum açmasını kolaylaştırmak için kullanılan Güvenlik Onaylama İşaretleme Dili (SAML) belirtecinden yararlanmasına olanak tanır.
Microsoft, potansiyel olarak etkilenen tüketicilere şu üç temel eylemi izlemelerini öneriyor:
- Yapılandırmalar ve kullanıcı başına ve uygulama başına ayarlar için şirket içi ve bulut altyapısını denetleyin.
- Kullanıcı ve uygulama erişimini kaldırın, yapılandırmaları inceleyin ve yeni güçlü kimlik bilgilerini yeniden yayınlayın.
- FoggyWeb’in AD FS sunucularından sırları çalmasını önlemek için bir donanım güvenlik modülü kullanın.
