Os investigadores da Microsoft descobriram um novo tipo de malware usado pelo grupo Nobelium, também conhecido como o conjunto de atacantes que esteve por trás do ataque à SolarWinds, um dos incidentes que abalou o panorama da cibersegurança em 2020.

O software malicioso, chamado FoggyWeb, atua como uma backdoor persistente em servidores comprometidos. A Microsoft explica que os atacantes recorrem a um vasto conjunto de táticas para roubar credenciais de modo a poderem aceder a servidores AD FS (Active Directory Federation Services).

FoggyWeb: Microsoft alerta para um novo tipo de malware usado pelos hackers do ataque à SolarWinds
FoggyWeb: Microsoft alerta para um novo tipo de malware usado pelos hackers do ataque à SolarWinds Diagrama da metodologia usada pelos atacantes. créditos: Microsoft

O malware descoberto pelos investigadores da Microsoft dá aos atacantes a possibilidade de permanecerem em servidores comprometidos, mesmo depois de uma “limpeza”. De acordo com os especialistas, o software malicioso está a ser usado, pelo menos, desde abril de 2021.

Segundo Ramin Nafisi, do Microsoft Threat Intelligence Center, o FoggyWeb permite a exfiltração remota de informação sensível e pode receber componentes maliciosos adicionais, através de um servidor C&C, executando-os no servidor AD FS afetado.

A Microsoft indica que, ainda neste ano, tinha descoberto também um conjunto de módulos maliciosos usados pelo grupo Nobelium, incluindo malware como GoldMax, GoldFinder e Sibot.

No seu blog, a empresa dá também a conhecer quais são os indicadores de ataque aos quais os utilizadores se devem manter atentos. A pensar em quem acabou por cair na “armadilha” dos atacantes, a Microsoft deixa também algumas medidas de mitigação.