I cyber criminali Nobelium tornano grazie ad una backdoor

Il gruppo di cyber criminali Nobelium — gruppo sostenuto dalla Russia che ha violato SolarWinds — hanno individuato una nuova backdoor.

nobelium microsoft

Sono i ricercatori Microsoft ad avvisare del nuovo malware ad accesso remoto chiamato FoggyWeb: il malware sarebbe utilizzato da aprile 2021 per mantenere la persistenza sui server Active Directory compromessi.

Secondo il ricercatore Microsoft Ramin Nafisi, la backdoor di FoggyWeb viene utilizzata come parte del processo per ottenere le credenziali utente che gli hacker di Nobelium utilizzano per spostarsi in una rete e accedere a informazioni più preziose.

Dopo aver compromesso un server Active Directory Federation Services (AD FS) tramite exploit di bug, FoggyWeb viene quindi installato per consentire agli hacker di persistere sul server. Da lì, le credenziali vengono raccolte a distanza.

La stessa backdoor è crittografata all’interno di un’applicazione di caricamento progettata per camuffarsi da una DLL Windows legittima. Una volta caricato, FoggyWeb opera con privilegi di amministratore.

SearchSecurity

Continua a leggere la news: Nobelium: l’analisi della FoggyWeb backdoor

Andrea Biraghi è amministratore delegato Comdata. Esperto in Cyber Security, Security & Information System. Project Manager digitalizzazione e sicurezza IT.