Microsoft ได้พบ malware ตัวใหม่ที่ถูกใช้โดยกลุ่ม Nobelium ซึ่งเป็นกลุ่มที่อยู่เบื้องหลังการโจมตี SolarWinds supply chain attacks เมื่อปีที่แล้ว โดยตัว Malware ดังกล่าวมีชื่อว่า FoggyWeb ที่ถูกขนานนามว่าเป็น Backdoor แบบ Passive และมีเป้าหมายที่อยู่ในระดับสูง FoggyWeb เป็น Malware ที่ออกแบบมาเพื่อช่วยให้ผู้โจมตีสามารถ-ขโมยข้อมูลที่สำคัญจาก Active Directory Federation Services (AD FS) ที่ถูกโจมตี หรือ decrypted token-signing certificate และ token-decryption certificate ตลอดจนใช้ดาวน์โหลด และเรียกใช้ malicious component จาก Command-and-Control (C2) Server และดำเนินการบน Server ที่ถูกโจมตี
ล่าสุดทาง Microsoft แจ้งเตือนให้กับลูกค้าที่ตกเป็นเป้าหมายหรือถูกโจมตีโดย Backdoor นี้แล้ว และได้ให้คำแนะนำดังนี้
1.ตรวจสอบโครงสร้างพื้นฐานภายในองค์กรและคลาวด์ว่ามีการกำหนดค่าต่าง ๆ ปลอดภัยหรือไม่ เช่นการตั้ง Group Policy สำหรับการใช้งานต่าง ๆ หรือ กำหนดสิทธิ์การเข้าถึงของผู้ใช้งานให้อยู่ในหลัก Least Privilege แล้วหรือไม่
2.ลบการเข้าถึงของผู้ใช้และแอป และตรวจสอบการกำหนดค่าสำหรับแต่ละรายการ และสร้าง Credentials ใหม่ตามแนวทาง documented industry best practices
3.ใช้ Hardware Security Module (HSM) ตามที่ได้อธิบายไว้ในการรักษาความปลอดภัยของ AD FS Server เพื่อป้องกันการถูกขโมยข้อมูลที่สำคัญโดย FoggyWeb
ที่มา: BleepingComputer
You must be logged in to post a comment.