Microsoft advierte sobre malware ‘FoggyWeb’ dirigido a servidores Advert FS



El grupo de ataque que Microsoft rastrea como Nobelium está utilizando una nueva puerta trasera posterior a la explotación capaz de robar datos confidenciales de un servidor de Lively Listing Federation Providers (Ad FS) comprometido, informa la compañía.

Nobelium es el mismo grupo detrás del ataque masivo a la cadena de suministro del año pasado dirigido al software Orion de SolarWinds. Desde entonces, Microsoft ha proporcionado actualizaciones sobre la actividad de los atacantes, que en mayo incluyó una campaña de correo electrónico avanzada haciéndose pasar por la Agencia de los Estados Unidos para el Desarrollo Internacional (USAID).

Ahora, el Centro de inteligencia de amenazas de Microsoft (MSTIC) dice que el grupo está utilizando un nuevo malware, denominado FoggyWeb, como una de las múltiples tácticas para perseguir el robo de credenciales con el objetivo de obtener acceso de nivel de administrador a los servidores de Advertisement FS. Se ha visto a FoggyWeb en estado salvaje ya en abril de 2021, dice Microsoft, y se ha notificado a los clientes que han sido objeto de ataques o están comprometidos.

FoggyWeb es una «puerta trasera pasiva y altamente dirigida» que puede extraer de forma remota datos confidenciales de un servidor Advertisement FS comprometido. También puede recibir comandos maliciosos adicionales de un servidor de comando y regulate (C2) y ejecutarlos en el servidor de la víctima.

«Nobelium utiliza FoggyWeb para extraer de forma remota la foundation de datos de configuración de los servidores Advert FS comprometidos, el certificado de firma de token descifrado y el certificado de descifrado de token, así como para descargar y ejecutar componentes adicionales», escriben.

Leer MSTIC’s publicación de weblog completa para obtener más detalles y recomendaciones para fortalecer y proteger las implementaciones de Advert FS.

Manténgase al día con las últimas amenazas de ciberseguridad, vulnerabilidades recién descubiertas, información sobre filtraciones de datos y tendencias emergentes. Entregado diariamente o semanalmente directamente en su bandeja de entrada de correo electrónico.

Suscribir



Enlace a la noticia first