Outro tipo de malware usado pelos invasores que realizaram o ataque à cadeia de suprimentos de software SolarWinds em dezembro foi identificado pela Microsoft.
Os pesquisadores descobriram uma série de módulos utilizados pelo grupo de ataque, que a Microsoft chama de Nobelium. Os EUA e o Reino Unido acusaram oficialmente a unidade de hackers do Serviço de Inteligência Estrangeiro Russo (SVR), também conhecida como APT29, Cozy Bear e The Dukes, pela responsabilidade pelo ataque em abril.
FoggyWeb pode criar uma porta dos fundos permanente para intrusos
Esse malware chamado FoggyWeb cria uma porta dos fundos que os invasores usam depois de obter acesso a um servidor direcionado.
Nesse cenário, a equipe emprega uma série de medidas para roubar nomes de usuário e senhas do servidor AD FS (Serviços de Federação do Active Directory) a fim de obter acesso de nível de administrador. Ao substituir o registro mestre de inicialização, um invasor pode permanecer dentro de uma rede após uma limpeza. Desde abril de 2021, o FoggyWeb tem sido observado em liberdade, de acordo com a Microsoft.
A Microsoft avisa os usuários sobre o malware e dá algumas recomendações
Ramin Nafisi, do Centro de Inteligência de Ameaças da Microsoft, afirma: “O Nobelium usa FoggyWeb para exfiltrar remotamente o banco de dados de configuração de servidores AD FS comprometidos, certificado de assinatura de token descriptografado e certificado de descriptografia de token, bem como para baixar e executar componentes adicionais.”
“FoggyWeb é uma porta dos fundos passiva e altamente direcionada, capaz de exfiltrar remotamente informações confidenciais de um servidor AD FS comprometido. Ele também pode receber componentes maliciosos adicionais de um servidor de comando e controle (C2) e executá-los no servidor comprometido ”, acrescenta.
Esse backdoor permite que um invasor explore o token SAML (Security Assertion Markup Language), que é utilizado para facilitar o logon dos usuários nos aplicativos.
A Microsoft aconselha os consumidores potencialmente afetados a seguir estas três ações principais: auditar a infraestrutura local e em nuvem para configurações e configurações por usuário e por aplicativo; remova o acesso do usuário e do aplicativo, examine as configurações e emita novamente novas credenciais fortes; e empregar um módulo de segurança de hardware para evitar que a FoggyWeb roube segredos de servidores AD FS.