Vijesti o Tehnologiji, Recenzije i Savjeti!

Microsoftovo upozorenje: Ovaj zlonamjerni softver pod nazivom FoggyWeb može stvoriti trajna stražnja vrata za uljeze

Microsoft je identificirao još jedan zlonamjerni softver koji su koristili napadači koji su u prosincu izveli napad na lanac opskrbe softverom SolarWinds.

Istraživači su otkrili niz modula koje koristi napadačka skupina, a koju Microsoft naziva Nobelium. SAD i Ujedinjeno Kraljevstvo službeno su optužili hakersku jedinicu Ruske vanjske obavještajne službe (SVR), također poznatu kao APT29, Cozy Bear i The Dukes, za odgovornost za napad u travnju.

FoggyWeb može stvoriti trajna stražnja vrata za uljeze

Ovaj malware nazvan FoggyWeb stvara stražnja vrata koja uljezi koriste nakon što dobiju pristup ciljanom poslužitelju.

U ovom scenariju, ekipa koristi niz mjera za krađu korisničkih imena i lozinki poslužitelja Active Directory Federation Services (AD FS) kako bi dobili pristup na razini administratora. Prepisivanjem glavnog zapisa pokretanja, napadač može ostati unutar mreže nakon čišćenja. Od travnja 2021. FoggyWeb je opažen u divljini, prema Microsoftu.

Microsoft upozorava korisnike na zlonamjerni softver i daje neke preporuke

Ramin Nafisi iz Microsoftovog centra za obavještavanje o prijetnjama kaže: “Nobelium koristi FoggyWeb za daljinsku eksfiltraciju konfiguracijske baze podataka kompromitiranih AD FS poslužitelja, dekriptiranog certifikata za potpisivanje tokena i certifikata za dešifriranje tokena, kao i za preuzimanje i izvršavanje dodatnih komponenti.”

“FoggyWeb je pasivan i visoko ciljani backdoor koji je sposoban daljinski izvući osjetljive informacije s kompromitiranog AD FS poslužitelja. Također može primiti dodatne zlonamjerne komponente s poslužitelja za naredbu i kontrolu (C2) i izvršiti ih na kompromitiranom poslužitelju,” dodaje.

Ova stražnja vrata napadaču omogućuju iskorištavanje tokena SAML (Security Assertion Markup Language) koji se koristi da korisnicima olakša prijavu u aplikacije.

Microsoft savjetuje potencijalno pogođenim potrošačima da slijede ove tri ključne radnje: revizija lokalne infrastrukture i infrastrukture u oblaku za konfiguracije te postavke po korisniku i po aplikaciji; ukloniti pristup korisnika i aplikacija, ispitati konfiguracije i ponovno izdati nove jake vjerodajnice; i koristite hardverski sigurnosni modul kako biste spriječili FoggyWeb u krađi tajni s AD FS poslužitelja.