Tech

FoggyWeb เครื่องมือล่าสุดของมัลแวร์อันตราย Nobelium APT

valerybrozhinsky – stock.adobe.c ทีมข่าวกรองภัยคุกคามของ Microsoft เตือนถึงมัลแวร์สายพันธุ์ใหม่ที่ใช้โดย Nobelium APT ที่เชื่อมโยงกับรัสเซีย โดย Alex Scroxton บรรณาธิการด้านความปลอดภัย (APT) กลุ่มที่ได้รับความอื้อฉาวเมื่อปลายปี 2563 หลังจากที่ได้บุกรุกซัพพลายเชนการพัฒนาซอฟต์แวร์ของ SolarWinds เพื่อเข้าถึงเป้าหมายการจารกรรม ยังคงใช้เทคนิคใหม่ในการไล่ตามเหยื่อรายใหม่ ข้อมูลนี้เป็นไปตาม Threat Intelligence Center (MSTIC) ของ Microsoft ซึ่งเผยแพร่การวิเคราะห์ล่าสุดเกี่ยวกับมัลแวร์ที่เพิ่งค้นพบซึ่งใช้โดยกลุ่มนี้ ซึ่งมีชื่อว่า FoggyWeb มัลแวร์ตัวใหม่นี้เป็นแบ็คดอร์หลังการใช้ประโยชน์โดย Nobelium เพื่อเข้าถึงเซิร์ฟเวอร์ Active Directory Federation Services (AD FS) ระดับผู้ดูแลระบบ ซึ่งช่วยให้สามารถคงความคงอยู่ภายในเครือข่ายของเหยื่อได้ อธิบายว่าเป็น “แบ็คดอร์แบบพาสซีฟและมีเป้าหมายสูง” FoggyWeb ใช้เพื่อกรองฐานข้อมูลการกำหนดค่าจากระยะไกลของเซิร์ฟเวอร์ AD FS ที่ถูกบุกรุก ใบรับรองการลงนามโทเค็นที่ถอดรหัสและใบรับรองการถอดรหัสโทเค็น และเพื่อดาวน์โหลดและดำเนินการส่วนประกอบเพิ่มเติม ตาม Ramin Nafisi ของ MSTIC ที่ได้ตรวจสอบมัลแวร์ตัวใหม่ “มีการใช้ FoggyWeb ในป่าตั้งแต่เดือนเมษายนปี 2021” Nafisi กล่าวในบล็อกการเปิดเผยข้อมูล “Microsoft ได้แจ้งลูกค้าทุกรายที่ถูกพบว่าตกเป็นเป้าหมายหรือถูกบุกรุกโดยกิจกรรมนี้” สำหรับผู้พิทักษ์ที่ต้องการประเมินว่าพวกเขาถูกบุกรุกหรือไม่ Microsoft แนะนำให้ตรวจสอบโครงสร้างพื้นฐานในองค์กรและคลาวด์อย่างละเอียด โดยคำนึงถึงการกำหนดค่าบัญชี การตั้งค่าต่อผู้ใช้และต่อแอป กฎการส่งต่อ และการเปลี่ยนแปลงอื่นๆ ที่ Nobelium อาจมี ทำ; การลบการเข้าถึงของผู้ใช้และแอปที่รอการตรวจสอบการกำหนดค่าสำหรับแต่ละรายการ และการรีเซ็ตข้อมูลรับรอง และการใช้โมดูลความปลอดภัยฮาร์ดแวร์ ซึ่งเป็นแนวปฏิบัติที่ดีโดยทั่วไปเมื่อพูดถึงความปลอดภัยของเซิร์ฟเวอร์ AD FS ไม่ว่าในกรณีใด เพื่อหยุด FoggyWeb จากการกรองข้อมูล Microsoft กล่าวว่าได้ใช้การตรวจจับและการป้องกันเพื่อป้องกัน FoggyWeb และรายละเอียดเพิ่มเติมรวมถึงตัวบ่งชี้การประนีประนอม (IOCs) คำแนะนำในการบรรเทาผลกระทบ รายละเอียดการตรวจจับและอื่น ๆ มีให้สำหรับผู้ใช้ Azure Sentinel และ Microsoft 365 Defender Jake Moore ของ ESET สนับสนุนการเรียกร้องให้ฝ่ายป้องกันของ Microsoft ตื่นตัว “กลุ่มที่ฉาวโฉ่นี้มีความซับซ้อนอย่างยิ่ง และคิดว่าจะเชื่อมโยงกับการโจมตีครั้งใหญ่ที่สุดครั้งหนึ่งของปี” เขากล่าว “ในการค้นพบครั้งล่าสุดนี้ เมื่อเซิร์ฟเวอร์ถูกบุกรุกผ่านข้อมูลประจำตัวที่ได้รับ สามารถเข้าถึงและรักษาไว้ได้ด้วยการแทรกซึมเพิ่มเติมโดยใช้เครื่องมือเพิ่มเติมและมัลแวร์ในรูปแบบที่ค่อนข้างน่าประทับใจ” นอกจากมัลแวร์ใหม่ๆ ที่น่าจะพัฒนาและบำรุงรักษาได้ ส่วนหนึ่งเป็นเพราะความผูกพันกับรัฐรัสเซียแล้ว โนเบลเลียมยังรู้จักที่จะถอยกลับไปใช้เทคนิคที่ธรรมดากว่าและตรวจพบได้ง่าย ซึ่งมักจะใช้ประโยชน์จากแนวทางปฏิบัติด้านความปลอดภัยที่หละหลวมเพื่อประนีประนอม . นี่เป็นหลักฐานเมื่อต้นปี 2564 เมื่อ Microsoft พบว่าตัวเองถูกโจมตีในแคมเปญการฉีดพ่นรหัสผ่านและการโจมตีแบบเดรัจฉาน ในตัวอย่างนี้ Nobelium ได้เข้าถึงระบบของเจ้าหน้าที่ฝ่ายสนับสนุนของ Microsoft และใช้ระบบดังกล่าวเพื่อเข้าถึงลูกค้า Microsoft ปลายทาง อย่างไรก็ตาม แม้ว่า APT ที่ได้รับการสนับสนุนจากรัฐจะเป็นอันตราย และปัจจัย James Bond หมายความว่ากิจกรรมจารกรรมได้รับความสนใจจากกระแสหลักอย่างมาก แต่ก็อาจไม่ได้นำเสนอความเสี่ยงเร่งด่วนที่สุดให้กับองค์กรทั่วไป ในรายงานที่ตีพิมพ์ใหม่ นักวิจัยของ SecureWorks Counter Threat Unit (CTU) กล่าวว่ากลุ่มต่างๆ เช่น Nobelium ซึ่งติดตามภายใต้ชื่อ Iron Ritual มี “ความต้องการด้านสติปัญญาระยะยาวที่ค่อนข้างคงที่ซึ่งสะท้อนให้เห็นในการกำหนดเป้าหมาย” และด้วยเหตุนี้ มีแนวโน้มที่จะเน้นที่การเข้าถึงข้อมูลหรือองค์กรที่เฉพาะเจาะจง ซึ่งทำให้พวกเขาได้รับภัยคุกคามน้อยกว่าอาชญากรไซเบอร์ที่ฉวยโอกาสหรือแก๊งแรนซัมแวร์ SecureWorks กล่าวว่าการประนีประนอม SolarWinds เป็นตัวอย่างที่ดีของแนวโน้มนี้ เนื่องจากในทุกกรณีที่นักวิจัยระบุว่าลูกค้า SolarWinds ได้ดาวน์โหลดการอัปเดตแพลตฟอร์ม Orion ที่ถูกบุกรุก Nobelium ส่วนใหญ่เพิกถอนการเข้าถึงเครือข่ายเหล่านั้นเมื่อบรรลุเป้าหมายของรัฐบาลแล้ว อ่านเพิ่มเติมเกี่ยวกับแฮ็กเกอร์และการป้องกันอาชญากรรมทางอินเทอร์เน็ต แฮกเกอร์ SolarWinds Nobelium ถูกพบโดยใช้แบ็คดอร์ใหม่ โดย: Shaun Nichols New Nobelium โจมตีตัวเตือนให้เข้าร่วมพื้นฐานทางไซเบอร์ โดย: Alex Scroxton แฮกเกอร์ SolarWinds บุกรุกตัวแทนฝ่ายสนับสนุนของ Microsoft โดย: Arielle Waldman SolarWinds hack อธิบาย: ทุกสิ่งที่คุณต้องการ ที่จะรู้ว่า

Leave a Reply

Your email address will not be published.

Back to top button