Os investigadores da Microsoft descobriram um novo tipo de malware usado pelo grupo Nobelium, também conhecido como o conjunto de atacantes que esteve por trás do ataque à SolarWinds, um dos incidentes que abalou o panorama da cibersegurança em 2020.
O software malicioso, chamado FoggyWeb, atua como uma backdoor persistente em servidores comprometidos. A Microsoft explica que os atacantes recorrem a um vasto conjunto de táticas para roubar credenciais de modo a poderem aceder a servidores AD FS (Active Directory Federation Services).
O malware descoberto pelos investigadores da Microsoft dá aos atacantes a possibilidade de permanecerem em servidores comprometidos, mesmo depois de uma “limpeza”. De acordo com os especialistas, o software malicioso está a ser usado, pelo menos, desde abril de 2021.
Segundo Ramin Nafisi, do Microsoft Threat Intelligence Center, o FoggyWeb permite a exfiltração remota de informação sensível e pode receber componentes maliciosos adicionais, através de um servidor C&C, executando-os no servidor AD FS afetado.
A Microsoft indica que, ainda neste ano, tinha descoberto também um conjunto de módulos maliciosos usados pelo grupo Nobelium, incluindo malware como GoldMax, GoldFinder e Sibot.
No seu blog, a empresa dá também a conhecer quais são os indicadores de ataque aos quais os utilizadores se devem manter atentos. A pensar em quem acabou por cair na “armadilha” dos atacantes, a Microsoft deixa também algumas medidas de mitigação.
Pergunta do Dia
Em destaque
-
Primeiras impressões
Pixel 8a da Google não é tão barato como promete mas responde até à formatura da marinha -
App do dia
Porcas, parafusos e traves de madeira num puzzle desafiante -
Site do dia
Personalize o banner do X (Twitter) em segundos e passe uma mensagem diferente -
How to TEK
Instagram já deixa editar mensagens, mas há mais novidades para experimentar
Comentários