El actor de amenazas detrás del ataque a la cadena de suministro de SolarWinds se ha relacionado con otro malware posterior a la explotación «altamente dirigido» que podría usarse para mantener el acceso persistente a entornos comprometidos.
Apodado MagicWeb por los equipos de inteligencia de amenazas de Microsoft, el desarrollo reitera el compromiso de Nobelium de desarrollar y mantener capacidades especialmente diseñadas.
Nobelium es el apodo del gigante tecnológico para un grupo de actividades que salieron a la luz con el sofisticado ataque dirigido a SolarWinds en diciembre de 2020, y que se superpone con el grupo de piratería del estado-nación ruso ampliamente conocido como APT29 , Cozy Bear o The Dukes.
“Nobelium permanece muy activo, ejecutando múltiples campañas en paralelo dirigidas a organizaciones gubernamentales, organizaciones no gubernamentales (ONG), organizaciones intergubernamentales (IGO) y grupos de expertos en los EE. UU., Europa y Asia Central”, dijo Microsoft .
Se estima que MagicWeb, que comparte similitudes con otra herramienta llamada FoggyWeb , se implementó para mantener el acceso y evitar el desalojo durante los esfuerzos de remediación, pero solo después de obtener un acceso altamente privilegiado a un entorno y moverse lateralmente a un servidor AD FS.
Mientras que FoggyWeb viene con capacidades especializadas para entregar cargas útiles adicionales y robar información confidencial de los servidores de Active Directory Federation Services ( AD FS ), MagicWeb es una DLL no autorizada (una versión con puerta trasera de «Microsoft.IdentityServer.Diagnostics.dll») que facilita el acceso encubierto a un sistema AD FS a través de una omisión de autenticación.
“La capacidad de Nobelium para implementar MagicWeb dependía de tener acceso a credenciales altamente privilegiadas que tenían acceso administrativo a los servidores AD FS, dándoles la capacidad de realizar cualquier actividad maliciosa que quisieran en los sistemas a los que tenían acceso”, dijo Microsoft.
Los hallazgos llegan inmediatamente después de la divulgación de una campaña dirigida por APT29 dirigida a organizaciones afiliadas a la OTAN con el objetivo de acceder a información de política exterior.
Específicamente, esto implica deshabilitar una función de registro empresarial llamada Purview Audit (anteriormente Advanced Audit) para recopilar correos electrónicos de las cuentas de Microsoft 365. «APT29 continúa demostrando tácticas de evasión y seguridad operativa excepcional», dijo Mandiant .
Otra táctica más nueva utilizada por el actor en operaciones recientes es el uso de un ataque de adivinación de contraseñas para obtener las credenciales asociadas con una cuenta inactiva e inscribirla para la autenticación de múltiples factores, otorgándole acceso a la infraestructura VPN de la organización.
APT29 sigue siendo un grupo de amenazas prolífico al igual que hábil. El mes pasado, la Unidad 42 de Palo Alto Networks señaló una campaña de phishing que aprovecha los servicios de almacenamiento en la nube de Dropbox y Google Drive para implementar malware y otras acciones posteriores al compromiso.