ล่าสุด Microsoft พบมัลแวร์ที่ชื่อว่า FoggyWeb ที่ปล่อยมาจากแฮกเกอร์เพื่อขโมยข้อมูลของผู้ดูแลระบบเครือข่ายจากระยะไกล
ผลลัพธ์ของการโจมตีของกลุ่มแฮกเกอร์นาม Nobelium ครั้งนี้ ได้แฮกเข้าสู่บัญชีผู้ดูแลระบบของเซิร์ฟเวอร์ผ่านเครื่องมือ Active Directory Federation Services (AD FS) และเข้าควบคุมอุปกรณ์ของผู้ใช้ในเครือข่ายเอาไว้ได้ทั้งหมด
AD FS เป็นส่วนประกอบซอฟต์แวร์ที่พัฒนาโดย Microsoft ที่สามารถทำงานบนระบบปฏิบัติการ Windows Server เพื่อให้ผู้ใช้สามารถเข้าถึงระบบและแอปพลิเคชันแบบลงชื่อเพียงครั้งเดียวในองค์กร
Microsoft อ้างว่าแฮกเกอร์กลุ่มนี้เป็นกลุ่มเดียวกับที่อยู่เบื้องหลังการโจมตีครั้งใหญ่ หรือ SolarWinds ในเดือนธันวาคมที่ผ่านมา และยังสร้างผลกระทบจนถึงตอนนี้
มัลแวร์ทำหน้าที่เป็นแบ็คดอร์สำหรับแฮกเกอร์ และช่วยเปิดทางเพื่อขโมยข้อมูลจากระยะไกล โดยใช้กลวิธีหลายอย่างในการเข้าถึงข้อมูลประจำตัวของผู้ใช้และโทเค็นสำหรับการตรวจสอบสิทธิ์
FoggyWeb เป็นแบ็คดอร์ที่กำหนดเป้าหมายได้สูง สามารถกรองข้อมูลที่ละเอียดอ่อนบนเซิร์ฟเวอร์ที่โดนเจาะได้ รวมถึงสร้างอันตรายเพิ่มเติมจากเซิร์ฟเวอร์คำสั่งและการควบคุมจากระยะไกล และการแฮกโทเค็นก็ทำให้แฮกเกอร์สามารถอยู่ในเครือข่ายได้แม้หลังจากล้างข้อมูลไปแล้วก็ตาม
FoggyWeb มีการใช้งานตั้งแต่เดือนเมษายน 2564 และสำหรับผู้ที่ตกเป็นเหยื่อของการโจมตี Microsoft มีคำแนะนำเพื่อหลีกเลี่ยงแบ็คดอร์ลับเหล่านี้
1. ตรวจสอบโครงสร้างพื้นฐานในองค์กรว่าพร้อมรับมือกับภัยไซเบอร์แล้วหรือยัง
2. ตรวจสอบคลาวด์ โดยกำหนดการตั้งค่าสิทธิ์ของผู้ใช้และแอป พร้อมทั้งลบการเข้าถึงที่อาจเพิ่มความเสี่ยง
3. เปลี่ยนวิธีการยืนยันตัวตนที่รัดกุม โดยใช้โมดูลความปลอดภัยของฮาร์ดแวร์ เพื่อป้องกันไม่ให้ FoggyWeb ขโมยความลับจากเซิร์ฟเวอร์ไปได้ครับ
ที่มา : https://www.microsoft.com/security/blog/2021/09/27/foggyweb-targeted-nobelium-malware-leads-to-persistent-backdoor/
#TechhubUpdate #Malware #Hacker