وأوضحت الشركة الأميركية أن باحثيها اكتشفوا وجود برمجية خطيرة، أطلقوا عليها اسم FoggyWeb، التي طورها فريق Nobelium، والذي يقف خلف الهجوم الكبير الخاص بشركة سولار ويندز (SolarWinds) والذي وقع العام الماضي وتضرر من خلاله الآلاف من المؤسسات الحكومية والشركات على مستوى العالم.
باب خلفي
وأكد باحثو مايكروسوفت أن البرمجية الجديدة تفتح باباً خلفياً للمخترقين، مما يسهل عليهم النفاذ عبر منصة مايكروسوفت والاستيلاء على المفاتيح الإلكترونية المميزة Tokens والشهادات الموثوقة Certificates.
ويجري استخدام الثغرة الجديدة من خلال اختراق خوادم الضحية، ومن ثم يتم بدء استخدام الثغرة للنفاذ إلى داخل الخوادم للحصول على بيانات المستخدمين، وكذلك الوصول إلى المفاتيح الإلكترونية المميزة لدخول المستخدمين إلى خدمات وتطبيقات الشركة المختلفة.
كما يستغل المخترقون الثغرة الجديدة في تشغيل أكواد برمجية خبيثة مباشرة على خوادم الضحية، وذلك إما بشكل مباشر، أو من خلال توجيه أوامر برمجية للتنفيذ من خلال خوادم خاصة بتوجيه الأوامر والتحكم Command-and-Control Servers.
توثيق مزيف
وأوضح تقرير مايكروسوفت أن فريق "نوبيليوم" يستخدم ثغرة داخل نظامها الخاص بالتأكيد الأمني للمفاتيح الإلكترونية Security Assertion Markup Language token، حيث إن تلك المفاتيح الإلكترونية تتيح للمستخدمين وأجهزتهم الوثوق في التطبيقات المختلفة التي يستخدمونها.
ومن خلال سيطرة المخترق على تلك المفاتيح الإلكترونية، سيتمكن من البقاء داخل خوادم الضحية، حتى وإن تم إجراء محاولة لحذف كافة الملفات الخبيثة من خوادم الضحية، لأنه سيكون قادراً على إجراء توثيق مزيف، مما سيجعله يربح ثقة أنظمة الضحية الإلكترونية.
وأشارة مايكروسوفت إلى أن الهجوم الجديد استهدف بالفعل العديد من الشركات في قطاع الأعمال حول العالم به منذ أبريل 2021، وقد قامت بكشف العديد من الأدوات البرمجية الخبيثة التي يستخدمها فريق "نوبيليوم"، مثل أدوات GoldMax وGoldFinder وSibot.
ووجهت الشركة نصائح لقطاع الأعمال بضرورة العمل على إجراء فحص موسع على مستوى خوادمها وكذلك مساحاتها للتخزين السحابي، وذلك للتأكد من تخلصها من كافة آثار هجوم FoggyWeb على خوادمها، بما يضمن حماية خصوصية بياناتها وبيانات مستخدميها.
Tags:
اخبار