APT恶意软件FoggyWeb针对微软AD域控FS服务器渗透攻击

APT恶意软件FoggyWeb针对微软AD域控FS服务器渗透攻击

微软披露了去年 12 月 SolarWinds 供应链攻击背后的黑客组织在最近部署的新恶意软件,目的是提供额外的攻击载荷并从 AD域控 FS 域控服务器中窃取敏感信息。

根据网络安全行业门户极牛网JIKENB.COM的梳理,一旦 Nobelium 获得凭据并成功入侵服务器,攻击者就会依靠该访问权限来维持权限,并使用复杂的恶意软件和黑客工具加深其渗透。Nobelium 使用 FoggyWeb 远程渗透受感染 AD FS 服务器的配置数据库、解密的令牌签名证书和令牌解密证书,以及下载和执行其他组件。

Microsoft警告FoggyWeb Malware针对Active Directory FS服务器

微软表示,它早在 2021 年 4 月就在野观察到 FoggyWeb,将恶意程序样本描述为“恶意内存驻留 DLL”。Nobelium 是该公司分配给民族国家黑客组织的绰号,该组织被广泛称为APT29、The Dukes 或 Cozy Bear,已归因于俄罗斯情报局,并被认为是SolarWinds的幕后黑手。

根据网络安全行业门户极牛网JIKENB.COM的梳理,FoggyWeb 使用加载程序通过利用一种称为DLL 搜索顺序劫持的技术进行安装,能够从受感染的 AD FS 服务器传输敏感信息,以及接收和执行从远程攻击者控制的服务器检索的其他恶意负载。它还被设计为监视从内网或互联网发送到服务器的所有传入 HTTP GET 和 POST 请求,并拦截黑客感兴趣的 HTTP 请求。

安全研究人员称,保护 AD FS 服务器是减轻 Nobelium 攻击的关键,检测和阻止 AD FS 服务器上的恶意软件、攻击者活动和其他恶意组件,可以破坏已知 Nobelium 攻击链中的关键步骤。用户应该检查他们的 AD FS 服务器配置并实施更改以保护这些系统免受攻击。

 

APT恶意软件FoggyWeb针对微软AD域控FS服务器渗透攻击

极牛网精选文章《APT恶意软件FoggyWeb针对微软AD域控FS服务器渗透攻击》文中所述为作者独立观点,不代表极牛网立场。如若转载请注明出处:https://jikenb.com/16493.html

发表评论

登录后才能评论