Microsoft reveló el lunes un nuevo malware implementado por el grupo de piratería detrás del ataque a la cadena de suministro de SolarWinds en diciembre pasado para entregar cargas útiles adicionales y robar información confidencial de los servidores de Active Directory Federation Services ( AD FS ).
El Centro de Inteligencia de Amenazas del gigante tecnológico (MSTIC) se denominó en código FoggyWeb «puerta trasera pasiva y altamente dirigida», lo que lo convierte en el actor de amenazas rastreado como la última herramienta de Nobelium en una larga lista de armas cibernéticas como Sunburst , Sunspot , Raindrop , Teardrop , GoldMax, GoldFinder , Sibot , Flipflop , NativeZone , EnvyScout, BoomBox y VaporRage.
«Una vez que las credenciales nobelio obtiene y con éxito compromete un servidor, el actor se basa en que el acceso a la persistencia mantener y profundizar su infiltración usando malware y herramientas sofisticadas», los investigadores MSTIC dijo . «Nobelium utiliza FoggyWeb para extraer de forma remota la base de datos de configuración de los servidores AD FS comprometidos, el certificado de firma de token descifrado y el certificado de descifrado de token, así como para descargar y ejecutar componentes adicionales».
Microsoft dijo que observó FoggyWeb en estado salvaje ya en abril de 2021, y describió el implante como una «DLL residente en memoria maliciosa».
Nobelium es el apodo asignado por la compañía al grupo de piratería del estado-nación ampliamente conocido como APT29 , The Dukes o Cozy Bear, una amenaza persistente avanzada que se ha atribuido al Servicio de Inteligencia Exterior de Rusia (SVR) y que se cree que estuvo detrás. El ataque de amplio alcance dirigido a SolarWinds que salió a la luz en diciembre de 2020. El adversario detrás de esta campaña también está siendo monitoreado bajo una variedad de nombres en clave como UNC2452 (FireEye), SolarStorm (Unidad 42), StellarParticle (CrowdStrike), Dark Halo (Volexity ) y Iron Ritual (Secureworks).
FoggyWeb, instalado mediante un cargador mediante la explotación de una técnica denominada secuestro de orden de búsqueda de DLL , es capaz de transmitir información confidencial desde un servidor AD FS comprometido, así como de recibir y ejecutar cargas útiles maliciosas adicionales recuperadas de un servidor remoto controlado por un atacante. También está diseñado para monitorear todas las solicitudes HTTP GET y POST enviadas al servidor desde la intranet (o Internet) e interceptar las solicitudes HTTP que son de interés para el actor.
«La protección de los servidores de AD FS es clave para mitigar los ataques de Nobelium», dijeron los investigadores. «La detección y el bloqueo de malware, actividad de atacantes y otros artefactos maliciosos en los servidores AD FS pueden romper pasos críticos en las conocidas cadenas de ataques de Nobelium. Los clientes deben revisar la configuración de su servidor AD FS e implementar cambios para proteger estos sistemas de ataques».
