Microsoft, Nobelium hacker grubunun Active Directory Federasyon Hizmetleri (AD FS) sunucularından bilgileri çalmak için kullanılan yeni bir backdoor keşfettiğini açıkladı.
Nobelium hacker grubu, SolarWinds saldırlarında arkasında olan APT29, The Dukes/Cozy Bear olarak bilinen Rus Dış İstihbarat Servisi’nin (SVR) siber korsanlarının bir kolu olarak biliniyor.
Microsoft Threat Intelligence Center (MSTIC) araştırmacıları FoggyWeb olarak adlandırılan kötü amaçlı bir yazılım, Security Assertion Markup Language (SAML)’ın kötüye kullanılması ile ortaya çıkan bir backdoor. FoggyWeb, güvenlik zafiyetleri bulunan AD FS sunucularında backdoor açarak veri sızdırabiliyor. Microsoft ayrıca “Nobelium, ele geçirilmiş AD FS sunucularının yapılandırma veritabanını, decrypted token-signing sertifikasını uzaktan sızdırmak ve ek bileşenleri indirmek ve yürütmek için FoggyWeb’i kullanıyor” diyor.
Microsoft zafiyetin etkilerin azaltmak için tavsiyelerde bulundu
- Kullanıcı başına ve uygulama başına ayarları denetletin, bulut alt yapınızın ve diğer tüm alt yapılardaki değşiklikleri denetleyin.
- Kullanıcı ve uygulama erişimini kaldırın, tüm yapılandırmaları inceleyin ve tüm ayarları endüstri standartlarında yeniden ayarlayın, kimlik bilgilerini güncelleyin.
- FoggyWeb’in gizli dizilerine sızmasını önlemek için AD FS sunucularının güvenliğini sağlama bölümünde açıklandığı gibi hardware security module (HSM) kullanın.
Kaynak: bleepingcomputer.com