Мицрософт је недавно открио другу врсту злонамерног софтвера, назван ФоггиВеб од стране Мицрософта, то хакери тренутно користе да даљински украду акредитиве мрежног администратора. Акредитиви омогућавају групи нападача, коју је компанија назвала Нобелиум, да хакује администратора налози сервера Ацтиве Дирецтори Федератион Сервицес (АД ФС) и контролишу приступ корисника разним ресурси.
Мицрософт тврди да је ово иста група која стоји иза напада на ланац набавке софтвера СоларВиндс који је откривен у децембру.
Малвер делује као бацкдоор за хакере и олакшава њихову даљинску крађу токена и сертификата са Мицрософт-ове платформе идентитета.
Повезан
- Мицрософт вам је управо дао нови начин заштите од вируса
- Пазите, ове бесплатне Виндовс апликације крију опасну тајну
- Мицрософт хакер ЛАПСУС$ управо је преузео још једну жртву
Нападачи користе новооткривени малвер када је сервер на који циљају већ угрожен у смислу безбедности. Хакерска група користи неколико тактика за приступ идентитетима корисника и неопходној инфраструктури која је потребна да преузме контролу над коришћењем њихове апликације.
Препоручени видео снимци
Рамин Нафиси из Мицрософт центра за обавештавање претњи каже: „Нобелиум користи ФоггиВеб да даљински ексфилтрира конфигурациону базу података компромитовани АД ФС сервери, дешифровани сертификат за потписивање токена и сертификат за дешифровање токена, као и за преузимање и извршавање додатних компоненте”.
„ФоггиВеб је пасивна и високо циљана позадинска врата способна да даљински ексфилтрира осетљиве информације са компромитованог АД ФС сервера. Такође може да прими додатне злонамерне компоненте са сервера за команду и контролу (Ц2) и да их изврши на компромитованом серверу“, додаје Мицрософт.
Бацкдоор који Нобелиум успева да прође омогућава хакеру да приступи токену Сецурити Ассертион Маркуп Лангуаге (САМЛ). Овај токен служи за помоћ корисницима да аутентификују апликације. Хаковање токена дозвољава нападачима да остану унутар мреже чак и након редовног чишћења. У ствари, према Мицрософт-у, ФоггиВеб је у употреби од априла 2021.
Мицрософт је открио бројне модуле које користи Нобелиум. Ово укључује компоненте ГолдМак, ГолдФиндер и Сибот. Они су направљени уз помоћ другог малвера за који је иста група проглашена кривом за коришћење. То укључује Сунбурст, Соларигате, Теардроп и Сунспот.
За људе који постану жртве напада, Мицрософт препоручује ревизију локалне инфраструктуре и инфраструктуре у облаку за конфигурације и подешавања по кориснику и по апликацији; уклањање приступа корисника и апликација, преглед конфигурација и поновно издавање нових, јаких акредитива; и коришћење хардверског безбедносног модула да спречи ФоггиВеб да украде тајне са АД ФС сервера.
Препоруке уредника
- Кинески хакери циљају критичну америчку инфраструктуру, упозорава Мицрософт
- Мицрософт објашњава како су хиљаде Нвидиа ГПУ-а изградиле ЦхатГПТ
- Мицрософт открива ново тајно оружје против сајбер криминала
- Мицрософт је зауставио највећи ДДоС напад икада пријављен
- Мицрософт детаљно објашњава како ће функционисати Ксбок Сериес Кс Смарт Деливери
Надоградите свој животни стилДигитални трендови помажу читаоцима да прате убрзани свет технологије са свим најновијим вестима, забавним рецензијама производа, проницљивим уводницима и јединственим кратким прегледима.
