FoggyWeb بدافزار جدید گروه Nobelium

مایکروسافت (Microsoft Corp) بدافزار جدیدی را کشف کرده که توسط گروه هکری Nobelium برای استقرار و اجرای کدهای بدافزاری و سرقت اطلاعات حساس از سرورهای Active Directory Federation Services – به اختصار ADFS – مورد استفاده قرار گرفته است.

در این گزارش که با همکاری شرکت مهندسی شبکه گستر و مرکز مدیریت راهبردی افتای ریاست جمهوری تهیه شده، جزییات این بدافزار مورد بررسی قرار گرفته است.

Nobelium، گروهی است که برخی منابع آن را منتسب به سازمان اطلاعات خارجی غیرنظامی فدراسیون روسیه (Russian Foreign Intelligence Service – به اختصار SVR) می‌دانند. از Nobelium با نام‌های APT29 ،The Dukes یا Cozy Bear نیز یاد می‌شود. این مهاجمان سال گذشته در جریان حملاتی از نوع زنجیره تامین (Supply Chain Attack) از طریق یکی از نرم‌افزارهای ساخت شرکت سولارویندز (SolarWinds, LLC)  موفق به رخنه به هزاران شرکت و سازمان شدند.

حملات زنجیره تامین حملات سایبری هستند که با هدف قرار دادن عناصر با امنیت کمتر در شبکه، به کل سازمان آسیب می‌رسانند. در واقع در این حملات، مهاجمان با بهره‌جویی از اجزای آسیب‌پذیر یک نرم‌افزار معتبر در زنجیره تامین یک سازمان به آن رخنه و یا آن را دچار اختلال می‌کنند.  

در جریان حمله فوق، مهاجمان پس از هک شرکت سولارویندز اقدام به تزریق کد آلوده به یکی از فایل‌های نرم‌افزار SolarWinds Orion با نام SolarWinds.Orion.Core.BusinessLayer.dll و تبدیل آن به یک درب‌پشتی (Backdoor) کردند. فایل مذکور نیز از طریق قابلیت به‌روزرسانی خودکار این نرم‌افزار به شبکه مشتریان سولارویندز راه یافته بود. در عمل موجب شد که شبکه مشتریان این نرم‌افزار در هر نقطه از جهان به تسخیر آنها در بیاید.

در اردیبهشت ماه، دولت ایالات متحده به طور رسمی سازمان اطلاعات خارجی غیرنظامی فدراسیون روسیه را متهم به “کمپین جاسوسی سایبری گسترده” در این کشور نمود.

شرکت امنیت سایبری ولکسیتی (.Volexity Inc) نیز 4 خرداد 1400 در مقاله‌ای که مشروح آن در لینک زیر قابل مطالعه است، بر اساس کارزارهای فیشینگ شناسایی شده و شباهت آن‌ها به تاکتیک‌های مشاهده شده در رویدادهای سال 2018، گروه APT29 را مسئول حملات فوق دانست.

https://www.volexity.com/blog/2021/05/27/suspected-apt29-operation-launches-election-fraud-themed-phishing-campaigns/

به نقل از این شرکت، این گروه، سازمان‌های دولتی و غیردولتی، موسسات تحقیقاتی و آژانس‌های بین المللی مستقر در ایالات متحده و اروپا را هدف قرار داده است.

براساس گزارشی که مایکروسافت در 5 مهر ماه منتشر کرده، بدافزار گروه Nobelium، که FoggyWeb لقب گرفته است، یک درب پشتی بسیار هدفمند است که از  پروتکل Security Assertion Markup Language – به اختصار  SAML – سوءاستفاده می‌کند.

NOBELIUM از تاکتیک‌های مختلفی برای سرقت اطلاعات اصالت‌سنجی با هدف دستیابی به سطح دسترسی Administrator در سرورهای ADFS استفاده می‌کند. هنگامی که NOBELIUM اطلاعات اصالت‌سنجی را بدست آورد و موفق به هک سرور شد، مهاجمان برای ماندگارکردن خود و نفوذ بیشتر از بدافزارها و ابزارهای پیچیده استفاده می‌کنند.

NOBELIUM از درب‌پشتی FoggyWeb جهت استخراج از راه دور پیکربندی پایگاه‌داده سرورهای هک شده ADFS، گواهینامه‌ رمزگشایی شده Token-signing و گواهینامه Token-decryption و همچنین دانلود و اجرای کدهای بیشتر استفاده می‌کند. همچنین می‌تواند اجزا و کدهای مخرب دیگر را از سرور کنترل و فرمان‌دهی (C2) دریافت کرده و آنها را در سرور هک شده اجرا کند.

پس از هک سرور ADFS،وNobelium با استفاده از حق دسترسی Administrator، دو فایل زیر را در سیستم دانلود می‌کند.

• %WinDir%\ADFS\version.dll
• %WinDir%\SystemResources\Windows.Data.TimeZones\pris\Windows.Data.TimeZones.zh-PH.pri

FoggyWeb در فایل رمزگذاری شده Windows.Data.TimeZones.zh-PH.pri ذخیره شده است، در حالی که فایل مخرب version.dll را می‌توان به عنوان اجراکننده (Loader) آن درنظر گرفت.

این درب‌پشتی اقدام به راه‌اندازی HTTP Listeners می‌کند تا URLهای تعریف شده توسط مهاجم را که از ساختار URL‌های معتبر ADFS تقلید می‌کنند، پیکربندی نموده و تمام درخواست‌های HTTP GET/POST را که از اینترنت/اینترانت به سرور ADFS ارسال می‌شود، رصد کند و درخواست‌های HTTP که مطابق با الگوهای URL سفارشی شده توسط مهاجم است، رهگیری ‌نماید.

هکرهای منتسب به روسیه از اردیبهشت ماه، در حال استفاده از درب پشتی FoggyWeb هستند.

این شرکت به سازمان‌هایی که مورد نفوذ قرار گرفته‌اند یا آلوده شده‌اند، انجام اقدامات زیر را توصیه می‌کند:

• زیرساخت‌های شبکه‌ای چه در محل سازمان چه در بسترهای رایانش ابری، از لحاظ پیکربندی، تنظیمات مختص هر کاربر و هر برنامه، قواعد Forwarding و سایر تغییراتی که ممکن است مهاجمان برای حفظ دسترسی خود انجام داده باشند، ارزیابی و بررسی شوند.
• هر گونه دسترسی کاربر و برنامه‌های کاربردی حذف شود و پیکربندی‌ها برای هر یک بررسی شده و مجدداً رمزهای عبور جدید و پیچیده تنظیم و اعمال شود.
• همانطور که در توصیه‌نامه امنیتی زیر اشاره شده از یک ماژول امنیتی سخت‌افزاری (Hardware Security Module – به اختصار HSM) جهت جلوگیری از افشا و استخراج اطلاعات توسط تهدیداتی همچون FoggyWeb استفاده شود.

https://docs.microsoft.com/en-us/windows-server/identity/ad-fs/deployment/best-practices-securing-ad-fs

محققان شرکت مایکروسافت در ماه‌های گذشته نیز به بدافزارهای زیر که توسط گروه Nobelium مورد استفاده قرار گرفتند، اشاره کردند:

• BoomBox
• EnvyScout
• Shellcode
• VaporRage
• NativeZone
• GoldMax
• Sibot
• GoldFinder

مشروح گزارش این شرکت در خصوص تهدیدات مذکور در لینک‌های‌ زیر قابل مطالعه است:

• https://www.microsoft.com/security/blog/2021/05/28/breaking-down-nobeliums-latest-early-stage-toolset/
• https://www.microsoft.com/security/blog/2021/03/04/goldmax-goldfinder-sibot-analyzing-nobelium-malware/

گزارش مایکروسافت در خصوص درب‌پشتی FoggyWeb نیز در لینک‌ زیر قابل دریافت است:

• https://www.microsoft.com/security/blog/2021/09/27/foggyweb-targeted-nobelium-malware-leads-to-persistent-backdoor/