مایکروسافت بدافزار جدیدی را کشف کرده است که توسط گروه هکری Nobelium و برای استقرار پی لود اضافی و سرقت اطلاعات حساس از سرورهای “خدمات فدراسیون اکتیو دایرکتوری” (AD FS) مورد استفاده قرار گرفته است. این گروه بدافزاری در سال قبل نیز در حملات شناخته شده SolarWinds چندین سازمان را مورد حمله قرار داده بود و یک گروه روسی است که با نامهای APT29 ،Dukes و یا Cozy Bear نیز شناخته میشود. بدافزار تازه کشف شده که توسط مایکروسافت با نام FoggyWeb نامیده شده، یک بدافزار درب پشتی بسیار هدفمند است که از توکن SAML سوءاستفاده میکند. این نوع بدافزار به هکر کمک میکند که از راه دور اطلاعات حساس را از سرور AD FS آسیب پذیر استخراج نماید.
به نظر میرسد که این گروه هکری از بدافزارهای دیگری نیز استفاده میکند که از سوی شرکت مایکروسافت برای اطلاعرسانی به کاربران معرفی شده است:
- دانلودر BoomBox
- پیوست EnvyScout HTML
- دانلودر VaporRage
- لودر NativeZone
- درب پشتی مرتبط با سرور کنترل و فرمان به نام GoldMax
- دراپر Sibot
- ابزار دنبالکننده مسیرHTTP به نام GoldFinder
راهکارهای امنیتی برای مقابله با این بدافزار
سازمانهایی که احتمال آسیب پذیری و یا نفوذ توسط این بدافزار را میدهند، بایستی اقدامات زیر را انجام دهند:
