去年底通过软件供应链在微软、FireEye及10多个美国联邦政府机关植入后门程序的黑客组织,近日又被发现蠢蠢欲动,接连发动攻击,在受害服务器上植入后门程序FoggyWeb及Tomiris,以长期渗透或窃取资料。
去年底一个黑客组织借由包括美国商务部、财政部及FireEye、微软等众多组织,所使用的IT管理平台SolarWinds Orion黑入其客户网络。这波攻击背后的黑客组织,据信是和俄罗斯政府支持的Nobelium,又称Cozy Bear、The Dukes或APT 29有关。它利用Orion的更新平台下载后门程序,包括Supernova及Sunburst等到用户网络上。
本周微软及卡巴斯基安全研究人员分别发现两个后门程序感染行动,且不约而同指向Nobelium。
首先是微软威胁情报中心发现,Nobelium锁定微软Active Directory Federation Services (AD FS)服务器,在取得流出的用户登录凭证后,就在AD FS服务器内植入永久性的后门程序FoggyWeb。
图片来源_微软
FoggyWeb是一个“后开采”被动式后门程序,具高度目标性。在受害系统中,它滥用SAML(Security Assertion Markup Language)令牌,以拦截进出Active Directory Federation Services (AD FS)服务器的流量。微软相信,攻击者利用FoggyWeb从受害服务器中窃取用户登录帐密、组态数据库、解密令牌(token)的签章凭证,并下载其他组件,像是进入内存中的恶意DLL。之后的行动可能包括执行恶意下载、接收C&C服务器的指令,或是监控对内流量,拦截任何想知道的对象通信内容。
微软分析研判FoggyWeb今年4月初就被用于攻击活动。微软已通知所有遭到锁定或已被黑入的客户。不过微软并未说明感染机器情形,或是分布范围等。
卡巴斯基则是在今年6月于DNS劫持的攻击中发现Tomiris。它的某些特征和今年5月发现的Sunshuttle后门程序很像。Sunshuttle属于SolarWinds Orion平台被植入的Sunburst后门变种,因此卡巴斯基推测Tomiris也源于Nobelium。
安全公司发现Tomiris是在去年12月到今年1月间,感染独立国家联合体(后苏联时代成立的9个国家)地区。黑客如何劫持受害者的DNS服务器尚不得而知,推测可能是取得受害者使用的域名注册机构的管理控制台凭证。
一旦劫持DNS解析器成功,受害者的邮件服务器流量会被重引导到黑客控制的域名,并通过假的登录页,诱使用户输入帐密,少部分引诱用户下载Tomiris后门程序。
图片来源_卡巴斯基
Tomiris和Sunshuttle一样,一经植入用户计算机就会持续和外部C&C服务器连接以下载之后的恶意程序,以在受害者网络上长期渗透。研究人员另外发现Tomiris变种还会寻找特定文件类型,如.doc、.PDF、.rar等上传外部服务器。
卡巴斯基在感染Tomiris的网络上发现另一只后门程序Kazuar,至于两波感染是因果关系、个别发生,或是和Nobelium有没关系尚则无法确定。