12월에 SolarWinds 소프트웨어 공급망 공격을 수행한 공격자가 사용한 또 다른 맬웨어가 Microsoft에 의해 확인되었습니다.
연구원들은 마이크로소프트가 노벨륨이라고 부르는 공격 그룹에서 사용하는 여러 모듈을 발견했습니다. 미국과 영국은 지난 4월 APT29, Cozy Bear, The Dukes로 알려진 러시아 해외 정보국(SVR) 해킹 조직을 공식 기소했습니다.
FoggyWeb은 침입자를 위한 영구적인 백도어를 만들 수 있습니다.
FoggyWeb이라고 하는 이 악성코드는 침입자가 대상 서버에 액세스한 후 사용하는 백도어를 생성합니다.
이 시나리오에서 승무원은 관리자 수준 액세스 권한을 얻기 위해 AD FS(Active Directory Federation Services) 서버 사용자 이름과 암호를 훔치는 다양한 방법을 사용합니다. 마스터 부트 레코드를 덮어쓰면 공격자는 정리 후에도 네트워크 내부에 남아 있을 수 있습니다. Microsoft에 따르면 2021년 4월부터 FoggyWeb이 야생에서 관찰되었습니다.
Microsoft는 사용자에게 맬웨어를 경고하고 몇 가지 권장 사항을 제공합니다.
Microsoft Threat Intelligence Center의 Ramin Nafisi는 “Nobelium은 FoggyWeb을 사용하여 손상된 AD FS 서버, 암호 해독된 토큰 서명 인증서 및 토큰 암호 해독 인증서의 구성 데이터베이스를 원격으로 유출하고 추가 구성 요소를 다운로드하고 실행합니다.”라고 말합니다.
“FoggyWeb은 손상된 AD FS 서버에서 중요한 정보를 원격으로 추출할 수 있는 수동적이고 고도로 표적화된 백도어입니다. 또한 C2(명령 및 제어) 서버에서 추가 악성 구성 요소를 수신하여 손상된 서버에서 실행할 수 있습니다.”라고 덧붙였습니다.
이 백도어를 통해 공격자는 사용자가 응용 프로그램에 더 쉽게 로그인할 수 있도록 하는 SAML(Security Assertion Markup Language) 토큰을 악용할 수 있습니다.
Microsoft는 잠재적으로 영향을 받는 소비자가 다음 세 가지 주요 조치를 따를 것을 권장합니다. 구성, 사용자별 및 애플리케이션별 설정에 대한 온프레미스 및 클라우드 인프라 감사. 사용자 및 앱 액세스를 제거하고 구성을 검사하고 강력한 새 자격 증명을 재발급합니다. 그리고 하드웨어 보안 모듈을 사용하여 FoggyWeb이 AD FS 서버에서 비밀을 훔치는 것을 방지합니다.