A Microsoft descobriu outro malware usado pelos hackers que estavam por trás do ataque à cadeia de suprimentos da SolarWinds, empresa americana de desenvolvimento de softwares, descoberto em dezembro de 2020.

Pesquisadores da área de segurança descobriram vários módulos usados pelo grupo que realizou o ataque. O grupo é chamado de Nobelium pela companhia. Em abril, os Estados Unidos e o Reino Unido culparam o Serviço de Inteligência Estrangeiro da Rússia pela invasão.

O malware recém-descoberto foi batizado de FoggyWeb pela companhia e é um “backdoor” – porta de acesso não autorizada que costuma ser instalada em sistemas de computadores. O programa foi usado pelos invasores depois de um servidor específico ter sido comprometido.

Nesse caso, os grupos costumam usar muitas táticas para roubar logins e senhas das redes. Dessa forma, eles se tornam administradores e acessam o Serviços de Federação do Active Directory (ADFS), componente de software que fornece aos usuários acesso a login e gerência dos sistemas e aplicativos localizados no Windows Server.

FoggyWeb explora sistemas remotamente

Laptop com imagem da Microsoft na tela

Esse servidor permite que os hackers fiquem dentro da rede mesmo depois de uma limpeza. De acordo com a Microsoft, o FoggyWeb tem sido usado na rede desde o início de 2021.

– Nobelium usa o FoggyWeb para extrair remotamente a configuração da base de dados dos servidores AD FS, decodificados como certificados token-singning e token-decryption, assim como o download e a execução de componentes adicionais – explica Ramin Nafisi, da Microsoft Threat Intelligence Center.

 – O FoggyWeb é passivo e altamente direcionado para a capacidade de extrair remotamente informações essenciais de um servidor AD FS. Ele pode também receber componentes maliciosos de um servidor de comando e controle e executá-los no servidor – acrescenta Nafisi.

O “backdoor” permite a exploração do token Security Assertion Markup Language (SAML) que é usada para ajudar os usuários a validarem aplicativos mais facilmente.

Como aumentar a segurança e proteger o sistema

A Microsoft recomenda clientes que podem ser afetados pelos hackers três passos para se protegerem de ataques:

  • fiscalizar a infraestrutura para configurações de servidores on-premise e cloud e de configurações por usuário e por aplicativos;
  • remover o acesso de usuários e plataformas; rever configurações;
  • alterar senhas de acesso;
  • usar um módulo de segurança de hardware para prevenir que o FoggyWeb roube os segredos dos servidores AD FS.
Deixe um comentário
You May Also Like