اكتشفت Microsoft مؤخرًا نوعًا آخر من البرامج الضارة، وتسمى FoggyWeb من Microsoft ، والتي يستخدمها المتسللون حاليًا لسرقة بيانات اعتماد مسؤول الشبكة عن بُعد، وتسمح بيانات الاعتماد لمجموعة المهاجمين التى أطلقت عليها الشركة اسم Nobelium باختراق حسابات المسؤول لخوادم Active Directory Federation Services (AD FS) والتحكم فى وصول المستخدمين إلى الموارد المختلفة.
وتدعى Microsoft أن هذه هي المجموعة نفسها التي تقف وراء هجوم سلسلة توريد برامج SolarWinds الذي تم الكشف عنه في ديسمبر، وفقا لما ذكره موقع digital trend .
وتعمل البرامج الضارة بمثابة باب خلفي للمتسللين وتسهل سرقتهم عن بُعد للرموز والشهادات من منصة هوية Microsoft.
كما يتم استخدام البرامج الضارة المكتشفة حديثًا من قبل المهاجمين بمجرد اختراق الخادم الذي يستهدفونه بالفعل من حيث الأمان، وتستخدم مجموعة المتسللين عدة تكتيكات للوصول إلى هويات المستخدمين والبنية التحتية اللازمة للتحكم فى استخدام تطبيقاتهم.
ويقول Ramin Nafisi من مركز Microsoft Threat Intelligence Center: "يستخد م Nobelium FoggyWeb للتسلل عن بُعد لقاعدة بيانات التكوين الخاصة بخوادم AD FS المخترقة ، وشهادة توقيع الرمز المشفر، وشهادة فك تشفير الرموز، وكذلك لتنزيل المكونات الإضافية وتنفيذها".
ويمكنه أيضًا تلقي مكونات ضارة إضافية من خادم الأوامر والتحكم (C2) وتنفيذها على الخادم المخترق ".
ويسمح الباب الخلفي الذي يديره Nobelium لتجاوزه للمتسلل بالوصول إلى رمز لغة ترميز تأكيد الأمان (SAML)، وهذا الرمز المميز هو لمساعدة المستخدمين على مصادقة التطبيقات، كما يسمح اختراق الرمز المميز للمهاجمين بالبقاء داخل الشبكة حتى بعد عمليات التنظيف المنتظمة في الواقع، وفقًا لمايكروسوفت، ويتم استخدام FoggyWeb منذ أبريل 2021.
كما كشفت Microsoft النقاب عن عدد من الوحدات النمطية التي يستخدمها Nobelium وتشمل هذه مكونات GoldMax و GoldFinder وSibot، كما تم إنشاء هذه بمساعدة برامج ضارة أخرى تم العثور على نفس المجموعة المذنبة باستخدامها، وتشمل هذه Sunburst وSolarigate وTeardrop.
وبالنسبة للأشخاص الذين يقعون فريسة للهجوم، توصى Microsoft بتدقيق البنية التحتية المحلية والسحابة للتكوينات والإعدادات لكل مستخدم وكل تطبيق وإزالة وصول المستخدم والتطبيق، ومراجعة التكوينات، وإعادة إصدار بيانات اعتماد جديدة وقوية، واستخدام وحدة أمان الأجهزة لمنع FoggyWeb من سرقة الأسرار من خوادم AD FS .