Microsoft 警告:FoggyWeb は AD FS を狙う最強のマルウェアだ!

Microsoft Warns of FoggyWeb Malware Targeting Active Directory FS Servers

2021/09/27 TheHackerNews — Microsoft は、昨年12月に発生した SolarWinds サプライチェーン攻撃に関与したハッキング・グループが、Active Directory Federation Services (AD FS) サーバーからペイロードを配信し、機密情報を盗み出すために使用した、新しいマルウェアに関する情報を公開した。

このマルウェアのコードネームは FoggyWebであり、Nobelium のツールである Sunburst/Sunspot/Raindrop/Teardrop/GoldMax/GoldFinder/Sibot/Flipflop/NativeZone/EnvyScout/BoomBox/VaporRage などの中で、最新のサイバー兵器だと考えられている。

MSTIC の研究者たちは、「Nobelium は、認証情報を取得してサーバーへの侵入に成功すると、そのアクセス権を利用して持続性を維持し、高度なマルウェアやツールを使用して侵入を深める。そして、FoggyWeb を使用して、侵害された AD FS サーバのー設定データベースや、復号化されたトークン署名証明書、トークン復号化証明書などをリモートに流出させ、さらに、追加のコンポーネントをダウンロードして実行していく」と述べている。

Microsoft は、2021年4月の時点で、FoggyWeb のワイルドな悪用を観測したと述べ、このインプラントを「悪意のメモリ常駐型 DLL」と表現している。

Nobelium は、Microsoft が割り当てた呼び名であり、APT29/The Dukes/Cozy Bear としてられている、国家支援型ハッキング・グループ SVR に起因するとされる APT を示すものとなる。そして、SVR は、2020年12月に明らかになった、SolarWinds を標的とする広範な攻撃の背後にいたと考えられている。

また、このキャンペーンの背後にいる敵対者は、UNC2452 (FireEye)/SolarStorm (Unit 42)/StellarParticle (CrowdStrike)/Dark Halo (Volexity)/Iron Ritual (Secureworks) などの、コードネームで監視されている。

FoggyWeb は、DLL 検索順序ハイジャックと呼ばれる技術を悪用したローダーを用いてインストールされ、脆弱な AD FS サーバーから機密情報を送信するだけではなく、リモートの攻撃者が管理するサーバーから取得した、追加のペイロードを受信して実行することも可能とされる。また、イントラネット (またはインターネット) からサーバーに送信される、すべての HTTP GET/POST リクエストを監視し、アクターの関心事である HTTP リクエストを傍受するように設計されている。

研究者たちは、「AD FSサーバーを保護することは、Nobelium 攻撃を緩和するためのカギとなる。AD F Sサーバー上のマルウェアや、攻撃者の活動、悪意のアーティファクトを検出/ブロックすることで、既知の Nobelium 攻撃の連鎖における、重要なステップを断ち切ることができる。顧客は、AD FSサーバのコンフィグレーションを見直し、これらのシステムを攻撃から守るための、変更を実施する必要がある」と述べている。

最近のマルウェア関連の記事を読んでいると、スティルス化/難読化が、ものすごい勢いで進んでいるように思えてきます。先日の「Jupyter マルウェアの最新版:MSI インストーラーに隠れて広がり続ける」も同じような危機感を伝えています。そして、「ディジタル・パンデミックの時代:最優先すべきはランサムウェアに対する洞察だ!」も、とても興味深い内容となっています。よろしければ ど〜ぞ。

%d bloggers like this: