Η Microsoft αποκάλυψε ένα άλλο κομμάτι malware που χρησιμοποιούσαν οι επιτιθέμενοι που βρίσκονταν πίσω από την επίθεση της αλυσίδας εφοδιασμού λογισμικού SolarWinds που ανακαλύφθηκε τον Δεκέμβριο.
Δείτε επίσης: Microsoft Outlook: Νέος τρόπος σύνθεσης μηνυμάτων εν κινήσει
Οι ερευνητές ασφαλείας ανακάλυψαν πολυάριθμα modules που χρησιμοποιήθηκαν από την ομάδα επιθέσεων, τις οποίες η Microsoft αποκαλεί Nobelium. Οι ΗΠΑ και το Ηνωμένο Βασίλειο τον Απρίλιο κατηγόρησαν επίσημα για την επίθεση τη ομάδα hacking της Ρωσικής Υπηρεσίας Εξωτερικών Πληροφοριών (SVR), η οποία είναι επίσης γνωστή ως APT29, Cozy Bear και The Dukes.
Η Microsoft τον Μάρτιο αποκάλυψε τα components GoldMax, GoldFinder και Sibot από την Nobelium, βασισμένα σε άλλα κακόβουλα προγράμματα της ομάδας, συμπεριλαμβανομένων των Sunburst/Solarigate, Teardrop και Sunspot.
Το πρόσφατα ανακαλυφθέν malware, που ονομάζεται FoggyWeb από τη Microsoft, είναι ένα backdoor που χρησιμοποιείται από τους χάκερ αφού ένας στοχευμένος server έχει ήδη παραβιαστεί.
Δείτε επίσης: Εντοπίστηκε ελάττωμα στο Microsoft WPBT: Ποιες συσκευές επηρεάζει;
Σε αυτήν την περίπτωση, η ομάδα χρησιμοποιεί διάφορες τακτικές για να κλέψει ονόματα χρήστη και κωδικούς πρόσβασης δικτύου για να αποκτήσει πρόσβαση σε επίπεδο διαχειριστή στους servers Active Directory Federation Services, γεγονός που τους δίνει πρόσβαση σε ταυτότητα και υποδομή διαχείρισης πρόσβασης για τον έλεγχο της πρόσβασης των χρηστών σε εφαρμογές και πόρους. Αυτό επιτρέπει στους επιτιθέμενους να παραμείνουν μέσα σε ένα δίκτυο ακόμη και μετά από καθαρισμό. Το FoggyWeb χρησιμοποιείται από τους χάκερ από τον Απρίλιο του 2021, σύμφωνα με τη Microsoft.
Το backdoor επιτρέπει κατάχρηση του token Security Assertion Markup Language (SAML), το οποίο χρησιμοποιείται για να βοηθήσει τους χρήστες να πιστοποιηθούν πιο εύκολα σε εφαρμογές.
Η Microsoft συνιστά στους δυνητικά επηρεαζόμενους πελάτες να λάβουν τρία βασικά βήματα: τον έλεγχο της υποδομής και της υποδομής cloud για configurations και τις ρυθμίσεις ανά χρήστη και ανά εφαρμογή, κατάργηση της πρόσβασης χρήστη και εφαρμογής, έλεγχος διαμορφώσεων και εκ νέου έκδοση νέων, ισχυρών credentials και χρησιμοποιώντας ένα hardware security module για να αποτρέψει το FoggyWeb από το να κλέψει μυστικά από servers AD FS.
Χρήσιμο Tip: Πώς να κατεβάσετε και να χρησιμοποιήσετε το Microsoft Word δωρεάν
Η Microsoft αποκάλυψε τον Μάιο περισσότερα εργαλεία μόλυνσης Noeblium, συμπεριλαμβανομένων των EnvyScout, BoomBox, NativeZone και VaporRage, καθώς και μια εκστρατεία ηλεκτρονικού ψαρέματος (phishing) που προωθήθηκε σε μια νόμιμη υπηρεσία email-marketing των ΗΠΑ.
Πηγή πληροφοριών: zdnet.com
