FoggyWeb بدافزار جدید گروه Nobelium
مایکروسافت (Microsoft Corp) بدافزار جدیدی را کشف کرده که توسط گروه هکری Nobelium برای استقرار و اجرای کدهای بدافزاری و سرقت اطلاعات حساس از سرورهای Active Directory Federation Services – به اختصار ADFS – مورد استفاده قرار گرفته است.
در این گزارش که با همکاری شرکت مهندسی شبکه گستر و مرکز مدیریت راهبردی افتای ریاست جمهوری تهیه شده، جزییات این بدافزار مورد بررسی قرار گرفته است.
Nobelium، گروهی است که برخی منابع آن را منتسب به سازمان اطلاعات خارجی غیرنظامی فدراسیون روسیه (Russian Foreign Intelligence Service – به اختصار SVR) میدانند. از Nobelium با نامهای APT29 ،The Dukes یا Cozy Bear نیز یاد میشود. این مهاجمان سال گذشته در جریان حملاتی از نوع زنجیره تامین (Supply Chain Attack) از طریق یکی از نرمافزارهای ساخت شرکت سولارویندز (SolarWinds, LLC) موفق به رخنه به هزاران شرکت و سازمان شدند.
حملات زنجیره تامین حملات سایبری هستند که با هدف قرار دادن عناصر با امنیت کمتر در شبکه، به کل سازمان آسیب میرسانند. در واقع در این حملات، مهاجمان با بهرهجویی از اجزای آسیبپذیر یک نرمافزار معتبر در زنجیره تامین یک سازمان به آن رخنه و یا آن را دچار اختلال میکنند.
در جریان حمله فوق، مهاجمان پس از هک شرکت سولارویندز اقدام به تزریق کد آلوده به یکی از فایلهای نرمافزار SolarWinds Orion با نام SolarWinds.Orion.Core.BusinessLayer.dll و تبدیل آن به یک دربپشتی (Backdoor) کردند. فایل مذکور نیز از طریق قابلیت بهروزرسانی خودکار این نرمافزار به شبکه مشتریان سولارویندز راه یافته بود. در عمل موجب شد که شبکه مشتریان این نرمافزار در هر نقطه از جهان به تسخیر آنها در بیاید.
در اردیبهشت ماه، دولت ایالات متحده به طور رسمی سازمان اطلاعات خارجی غیرنظامی فدراسیون روسیه را متهم به “کمپین جاسوسی سایبری گسترده” در این کشور نمود.
شرکت امنیت سایبری ولکسیتی (.Volexity Inc) نیز 4 خرداد 1400 در مقالهای که مشروح آن در لینک زیر قابل مطالعه است، بر اساس کارزارهای فیشینگ شناسایی شده و شباهت آنها به تاکتیکهای مشاهده شده در رویدادهای سال 2018، گروه APT29 را مسئول حملات فوق دانست.
به نقل از این شرکت، این گروه، سازمانهای دولتی و غیردولتی، موسسات تحقیقاتی و آژانسهای بین المللی مستقر در ایالات متحده و اروپا را هدف قرار داده است.
براساس گزارشی که مایکروسافت در 5 مهر ماه منتشر کرده، بدافزار گروه Nobelium، که FoggyWeb لقب گرفته است، یک درب پشتی بسیار هدفمند است که از پروتکل Security Assertion Markup Language – به اختصار SAML – سوءاستفاده میکند.
NOBELIUM از تاکتیکهای مختلفی برای سرقت اطلاعات اصالتسنجی با هدف دستیابی به سطح دسترسی Administrator در سرورهای ADFS استفاده میکند. هنگامی که NOBELIUM اطلاعات اصالتسنجی را بدست آورد و موفق به هک سرور شد، مهاجمان برای ماندگارکردن خود و نفوذ بیشتر از بدافزارها و ابزارهای پیچیده استفاده میکنند.
NOBELIUM از دربپشتی FoggyWeb جهت استخراج از راه دور پیکربندی پایگاهداده سرورهای هک شده ADFS، گواهینامه رمزگشایی شده Token-signing و گواهینامه Token-decryption و همچنین دانلود و اجرای کدهای بیشتر استفاده میکند. همچنین میتواند اجزا و کدهای مخرب دیگر را از سرور کنترل و فرماندهی (C2) دریافت کرده و آنها را در سرور هک شده اجرا کند.
پس از هک سرور ADFS،وNobelium با استفاده از حق دسترسی Administrator، دو فایل زیر را در سیستم دانلود میکند.
- %WinDir%\ADFS\version.dll
- %WinDir%\SystemResources\Windows.Data.TimeZones\pris\Windows.Data.TimeZones.zh-PH.pri
FoggyWeb در فایل رمزگذاری شده Windows.Data.TimeZones.zh-PH.pri ذخیره شده است، در حالی که فایل مخرب version.dll را میتوان به عنوان اجراکننده (Loader) آن درنظر گرفت.
این دربپشتی اقدام به راهاندازی HTTP Listeners میکند تا URLهای تعریف شده توسط مهاجم را که از ساختار URLهای معتبر ADFS تقلید میکنند، پیکربندی نموده و تمام درخواستهای HTTP GET/POST را که از اینترنت/اینترانت به سرور ADFS ارسال میشود، رصد کند و درخواستهای HTTP که مطابق با الگوهای URL سفارشی شده توسط مهاجم است، رهگیری نماید.
هکرهای منتسب به روسیه از اردیبهشت ماه، در حال استفاده از درب پشتی FoggyWeb هستند.
این شرکت به سازمانهایی که مورد نفوذ قرار گرفتهاند یا آلوده شدهاند، انجام اقدامات زیر را توصیه میکند:
- زیرساختهای شبکهای چه در محل سازمان چه در بسترهای رایانش ابری، از لحاظ پیکربندی، تنظیمات مختص هر کاربر و هر برنامه، قواعد Forwarding و سایر تغییراتی که ممکن است مهاجمان برای حفظ دسترسی خود انجام داده باشند، ارزیابی و بررسی شوند.
- هر گونه دسترسی کاربر و برنامههای کاربردی حذف شود و پیکربندیها برای هر یک بررسی شده و مجدداً رمزهای عبور جدید و پیچیده تنظیم و اعمال شود.
- همانطور که در توصیهنامه امنیتی زیر اشاره شده از یک ماژول امنیتی سختافزاری (Hardware Security Module – به اختصار HSM) جهت جلوگیری از افشا و استخراج اطلاعات توسط تهدیداتی همچون FoggyWeb استفاده شود.
محققان شرکت مایکروسافت در ماههای گذشته نیز به بدافزارهای زیر که توسط گروه Nobelium مورد استفاده قرار گرفتند، اشاره کردند:
- BoomBox
- EnvyScout
- Shellcode
- VaporRage
- NativeZone
- GoldMax
- Sibot
- GoldFinder
مشروح گزارش این شرکت در خصوص تهدیدات مذکور در لینکهای زیر قابل مطالعه است:
- https://www.microsoft.com/security/blog/2021/05/28/breaking-down-nobeliums-latest-early-stage-toolset/
- https://www.microsoft.com/security/blog/2021/03/04/goldmax-goldfinder-sibot-analyzing-nobelium-malware/
گزارش مایکروسافت در خصوص دربپشتی FoggyWeb نیز در لینک زیر قابل دریافت است: