Neue Malware zielt auf Microsoft Active Directory

28. September 2021, 15:41
  • microsoft
  • cyberangriff
  • security
image

Die Hackergruppe Nobelium versucht mit der Malware "Foggyweb", An­melde­informationen zu stehlen und eine Hintertür in Active Directory Server einzubauen.

Microsoft warnt vor einer neuen Malware, die von der Hackergruppe Nobelium verwendet wird, um sensible Informationen aus Active Directory Federation Services (AD FS) zu stehlen.
Nobelium wird für den Angriff auf die IT-Managementplattform Orion von Solarwinds verantwortlich gemacht. Es wird davon ausgegangen, dass die Gruppe mit der russischen Regierung in Verbindung steht.
Bei der von Microsofts Threat Intelligence Center (MSTIC) als Foggyweb bezeichneten Malware handle es sich um eine "passive und sehr gezielte Backdoor", wie es weiter heisst. Die Malware missbrauche das SAML-Token (Security Assertion Markup Language). 
Offenbar wird Foggyweb seit April 2021 in freier Wildbahn eingesetzt. Malware ziele auf AD FS Server, um Anmeldeinformationen, Konfigurationsdatenbanken, entschlüsselte Token-Signierungs- und Token-Entschlüsselungszertifikate zu exfiltrieren und zusätzliche Komponenten herunterzuladen. Ziel der Angreifer sei, eine permanente Hintertür einzubauen, um ein Netzwerk in grösserem Umfang abzugreifen. Habe Nobelium Zugangsdaten erlangt und einen Server erfolgreich kompromittiert, versuche die Gruppe weitere, ausgeklügelte Malware einzuschleusen, heisst es vom MSTIC.
Für Anwender verweist Microsoft auf einen Leitfaden mit bewährten Verfahren, um die Gefahr einzudämmen. Unter anderem wird empfohlen, die Kontrollrechte für den AD-FS-Zugriff einzuschränken und eine Multi-Faktor-Authentifizierung zu nutzen. Microsoft Defender Antivirus erkenne die neue Nobelium-Malware, fügt das Unternehmen an. Ausführliche Informationen zu Foggyweb gibt es im Blogeintrag des MSTIC. 

Loading

Mehr zum Thema

image

Cyberkriminelle erbeuten Kundendaten der Online-Apotheke DocMorris

Bei dem Cyberangriff haben unbekannte Täter 20'000 Kundenkonten kompromittiert. Die Online-Apotheke gehört zur Schweizer "Zur Rose"-Gruppe.

publiziert am 27.1.2023
image

Schwerer Schlag gegen eine der erfolgreichsten Ransomware-Banden

Die Gruppe Hive hatte unter anderen Emil Frey und Media Markt attackiert. Jetzt haben das FBI, Europol und weitere Behörden die Hive-Infrastruktur ausgeschaltet.

publiziert am 27.1.2023
image

Angeblicher Datendiebstahl: Unispital Lausanne gibt Entwarnung

Ein Hacker behauptete, im Besitz von 2 Millionen Datensätzen des Spitals zu sein. Doch das Datenpaket stammt offenbar aus Frankreich.

publiziert am 27.1.2023
image

Zwei Wochen nach der Cyberattacke: Britische Post verschickt wieder Päckli

Eine Ransomware-Bande hatte den internationalen Versand der Royal Mail lahmgelegt.

publiziert am 27.1.2023