Solarwinds-hackers stelen Active Directory-data via FoggyWeb-malware

Met machine learning leert een beveiligingsoplossing wat normaal is en wat niet. Zo komt onregelmatige trafiek snel aan het licht, zelfs wanneer een hacker die goed vermomd heeft als een legitiem proces.

De hackersgroep achter de eerdere SolarWinds-aanvallen gebruikt nieuwe malware om gevoelige gegevens van AD FS-servers te stelen.

Nobelium, de hackersgroepering achter SolarWinds, nestelt zich in Active Directory Federation Services (AD FS)-servers in een poging zo gevoelige data te exfiltreren. AD FS-servers maken single sign-on (SSO) mogelijk voor cloudgebaseerde toepassingen in een Microsoft-omgeving. De servers communiceren de digitale identiteit en toegangsrechten van gebruikers tot toepassingen.

Gevoelige data

Nobelium probeert toegang te krijgen tot die AD FS-servers en installeert vervolgens de FoggyWeb-malware. Die malware lekt de configuratiedatabase van de getroffen servers naar de hackers. Daarin zitten onder andere ontsleutende token-certificaten. Nobelium kan die data op zijn beurt misbruiken om cloud-accounts van gebruikers te kraken en zo meer toegang te krijgen tot een IT-omgeving van een organisatie.

FoggyWeb communiceert verder met een command and control-server en kan zo extra malware-componenten binnenhalen en uitvoeren. De malware zelf is in staat om zich diep in de AD FS-servers in te graven en blijft zo persistent aanwezig. Microsoft benadrukt dat aanvallen met FoggyWeb al sinds april actief plaatsvinden. De softwarereus waarschuwde organisaties waarbij misbruik werd gedetecteerd.

Sterke beveiliging en 2FA

Organisaties kunnen zich wapenen door goed naar de logbestanden van hun omgeving te kijken op zoek naar wijzigingen die Nobelium heeft aangebracht om communicatie te behouden. Onnodige toegang verwijderen en sterke credentials met 2FA helpen ook. Tot slot raadt Microsoft klanten aan om een hardware security module te gebruiken om de exfiltratie van gevoelige data te voorkomen.

FoggyWeb is de tweede fase in een aanval van Nobelium, dat eerst op een andere manier toegang moet krijgen tot een server. Zodra die toegang is verworven, zorgt FoggyWeb voor een achterpoortje dat Nobelium op lange termijn kan misbruiken.

nieuwsbrief

Abonneer je gratis op ITdaily !

  • This field is for validation purposes and should be left unchanged.
terug naar home