APT-группа Nobelium ставит на ADFS-серверы новый бэкдор

APT-группа Nobelium ставит на ADFS-серверы новый бэкдор — FoggyWeb

Татьяна Никитина 28 Сентября 2021 - 15:34

Таргетированные атаки

...

APT-группа Nobelium ставит на ADFS-серверы новый бэкдор — FoggyWeb

Эксперты Microsoft изучили новый инструмент постэксплуатации, который APT-группа Nobelium уже пустила в ход. Бэкдор, получивший кодовое имя FoggyWeb, позволяет взломщикам получить данные о настройках службы федерации Active Directory (ADFS), сертификаты для подписи и расшифровки токенов SAML, а также загрузить на сервер дополнительные компоненты.

Преступная группировка, которую в Microsoft называют Nobelium, известна и под другими именами — APT29, The Dukes, Cozy Bear. Эти хакеры часто обновляют свой арсенал и проводят сложные атаки на госструктуры, НКО, научно-исследовательские учреждения, поставщиков ИТ- и телеком-услуг. Им также приписывают авторство прошлогоднего нападения на SolarWinds, получившего большой резонанс.

Первые атаки с использованием FoggyWeb, по данным Microsoft, были зафиксированы в минувшем апреле. Хакеры устанавливают этого работающего в памяти зловреда на взломанный сервер ADFS, чтобы обеспечить себе плацдарм для развития атаки.

Получив админ-доступ к системе, злоумышленники вносят в нее два файла — зашифрованный Windows.Data.TimeZones.zh-PH.pri (FoggyWeb) и version.dll (загрузчик). Вредоносная библиотека загружается в память процесса ADFS по методу подмены DLL; этот компонент отвечает за расшифровку и запуск основного модуля бэкдора.

Активированный FoggyWeb мониторит входящие HTTP-запросы GET и POST, фиксируя используемые схемы URI — список нужных жестко прописан в его коде. Обнаружив совпадение, зловред перехватывает послание и выполняет содержащуюся в нем команду.

Ввиду появления новой угрозы Microsoft разослала оповещения заинтересованным клиентам, призвав их усилить защиту ADFS-серверов. С этой целью пользователям рекомендуется сделать следующее:

обновить ADFS до последней версии;
проверить локальные и облачные ресурсы организации на предмет несанкционированных изменений настроек;
удалить неиспользуемые протоколы и функции Windows;
ограничить доступ к ADFS-системам и ужесточить контроль, усилить пароли;
поместить используемые для подписи ключи и сертификаты в аппаратное хранилище (HSM).

Следующая главная новость »

Подписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Екатерина Быстрова 01 Сентября 2025 - 19:03

macOS Уязвимости программ Домашние пользователи Корпорации

Встроенные защитные механизмы macOS становятся каналом для атак и утечек

macOS давно считается одной из самых надёжных систем, и Apple действительно встроила в неё целый набор защитных механизмов — от Keychain для паролей до Gatekeeper, SIP и XProtect. Но последние исследования показывают: всё чаще именно эти инструменты становятся точкой входа для атак.

Например, Keychain шифрует данные по всем правилам, но при физическом или админ-доступе злоумышленники могут с помощью утилит вроде Chainbreaker расшифровать хранилище и унести все пароли. Встроенный системный инструмент /usr/bin/security тоже используется для кражи секретов.

TCC, который должен контролировать доступ к камере и диску, обходят через кликджекинг: пользователю подсовывают фальшивые окна, и он сам даёт вирусу все права. SIP можно отключить через Recovery Mode, а Gatekeeper и File Quarantine легко обходятся загрузкой файлов через curl или wget — в этом случае система просто не видит угрозу.

Эксперты предупреждают: полагаться только на встроенную защиту macOS опасно. Она эффективна, но киберпреступники стали изобретательнее. Поэтому бизнесу стоит дополнять её современными EDR-решениями, которые умеют отслеживать подозрительные процессы и команды, и вовремя сигнализировать о нарушениях.

APT-группа Nobelium ставит на ADFS-серверы новый бэкдор — FoggyWeb

Читайте также