Microsoft keamanan cyber (terbuka di tab baru) peneliti telah menemukan bukti baru malware (terbuka di tab baru) dipekerjakan oleh aktor ancaman di balik profil tinggi SolarWinds (terbuka di tab baru) serangan, untuk membuat backdoor persisten ke server yang disusupi.
Dijuluki FoggyWeb malware, yang menjatuhkan backdoor pasca-eksploitasi, ditemukan oleh Microsoft Threat Intelligence Center (MSTIC) karena terus melacak aktivitas penyerang SolarWinds yang disponsori negara yang mereka sebut sebagai Nobelium.
“Nobelium menggunakan FoggyWeb untuk mengekstraksi basis data konfigurasi AD FS dari jarak jauh [Active Directory Federation Services] server, sertifikat penandatanganan token yang didekripsi, dan sertifikat dekripsi token, serta untuk mengunduh dan menjalankan komponen tambahan,” catat para peneliti MSTIC dalam sebuah posting blog (terbuka di tab baru).
Berdasarkan analisis mereka, para peneliti Microsoft percaya bahwa Nobelium telah menggunakan FoggyWeb dalam kampanye sejak April 2021.
Mengurai bekerja pada malware yang baru ditemukan, para peneliti berpendapat bahwa itu terkait dengan taktik Nobelium untuk mencuri kredensial setelah mengkompromikan server AD FS.
“Begitu Nobelium memperoleh kredensial dan berhasil menyusup ke server, aktor mengandalkan akses itu untuk mempertahankan kegigihan dan memperdalam infiltrasinya menggunakan malware dan alat canggih,” bantah para peneliti.
Di situlah malware berperan. Digambarkan sebagai “pintu belakang pasif dan sangat bertarget” FoggyWeb membantu penyerang mengekstraksi informasi sensitif dari jarak jauh dari server AD FS yang disusupi.
Menggali malware, peneliti MSTIC mengetahui bahwa FoggyWeb juga dapat menerima komponen berbahaya tambahan dari server perintah-dan-kontrol (C2) untuk tindakan lebih lanjut pada server yang disusupi.
Para peneliti menambahkan bahwa mereka telah membagikan detail malware, termasuk indikator penyusupan, dengan pelanggan yang diamati sebagai sasaran atau disusupi oleh FoggyWeb.