Outro tipo de malware usado pelos invasores que realizaram o ataque à cadeia de suprimentos de software SolarWinds em dezembro foi identificado pela Microsoft.

Os pesquisadores descobriram uma série de módulos utilizados pelo grupo de ataque, que a Microsoft chama de Nobelium. Os EUA e o Reino Unido acusaram oficialmente a unidade de hackers do Serviço de Inteligência Estrangeiro Russo (SVR), também conhecida como APT29, Cozy Bear e The Dukes, pela responsabilidade pelo ataque em abril.

FoggyWeb pode criar uma porta dos fundos permanente para intrusos

Aviso da Microsoft: este malware chamado FoggyWeb pode criar um backdoor para invasores
Aviso da Microsoft: este malware chamado FoggyWeb pode criar um backdoor para invasores

Esse malware chamado FoggyWeb cria uma porta dos fundos que os invasores usam depois de obter acesso a um servidor direcionado.

You Might Also Like
OpenAI Fine-Tuning: Personalizando GPT-4o para desempenho
OpenAI Fine-Tuning: Personalizando GPT-4o para desempenho
O bloqueio de ativação do Macbook explicou: como removê-lo?
O bloqueio de ativação do Macbook explicou: como removê-lo?
Como transferir uma licença do Windows 10 para um novo PC?
Como transferir uma licença do Windows 10 para um novo PC?

Nesse cenário, a equipe emprega uma série de medidas para roubar nomes de usuário e senhas do servidor AD FS (Serviços de Federação do Active Directory) a fim de obter acesso de nível de administrador. Ao substituir o registro mestre de inicialização, um invasor pode permanecer dentro de uma rede após uma limpeza. Desde abril de 2021, o FoggyWeb tem sido observado em liberdade, de acordo com a Microsoft.

  Como criar uma pesquisa com o Google Drive?

A Microsoft avisa os usuários sobre o malware e dá algumas recomendações

Ramin Nafisi, do Centro de Inteligência de Ameaças da Microsoft, afirma: “O Nobelium usa FoggyWeb para exfiltrar remotamente o banco de dados de configuração de servidores AD FS comprometidos, certificado de assinatura de token descriptografado e certificado de descriptografia de token, bem como para baixar e executar componentes adicionais.”

“FoggyWeb é uma porta dos fundos passiva e altamente direcionada, capaz de exfiltrar remotamente informações confidenciais de um servidor AD FS comprometido. Ele também pode receber componentes maliciosos adicionais de um servidor de comando e controle (C2) e executá-los no servidor comprometido ”, acrescenta.

Aviso da Microsoft: este malware chamado FoggyWeb pode criar um backdoor para invasores
Aviso da Microsoft: este malware chamado FoggyWeb pode criar um backdoor para invasores

Esse backdoor permite que um invasor explore o token SAML (Security Assertion Markup Language), que é utilizado para facilitar o logon dos usuários nos aplicativos.

A Microsoft aconselha os consumidores potencialmente afetados a seguir estas três ações principais: auditar a infraestrutura local e em nuvem para configurações e configurações por usuário e por aplicativo; remova o acesso do usuário e do aplicativo, examine as configurações e emita novamente novas credenciais fortes; e empregar um módulo de segurança de hardware para evitar que a FoggyWeb roube segredos de servidores AD FS.

  Snapdrop é uma alternativa gratuita ao AirDrop para dispositivos Android