Microsoft ha revelado este lunes un nuevo malware distribuido por el grupo de hackers responsable del ataque a la cadena de suministro de SolarWinds en diciembre, cuyo objetivo consiste en distribuir nuevas amenazas y robar información privilegiada de los servidores de Active Directory Federation Services (AD FS).
El Centro de Inteligencia de Amenazas de la empresa (“MSTIC”) le ha dado el nombre en clave de FoggyWeb, un “backdoor pasivo y altamente selectivo”, lo que convierte a este actor en la última herramienta de Nobelium en una larga lista de armas cibernéticas como Sunburst, Sunspot, Raindrop, Teardrop, GoldMax, GoldFinder, Sibot, Flipflop, NativeZone, EnvyScout, BoomBox y VaporRage.
“Una vez que Nobelium obtiene las credenciales y compromete con éxito un servidor, el actor se apoya en ese acceso para mantener la persistencia y profundizar su infiltración utilizando sofisticados malware y herramientas”, dijeron los investigadores de MSTIC. “Nobelium utiliza FoggyWeb para exfiltrar remotamente la base de datos de configuración de los servidores AD FS comprometidos, el certificado de firma de token descifrado y el certificado de descifrado de token, así como para descargar y ejecutar componentes adicionales”.
Microsoft dijo que observó FoggyWeb in the wild ya en abril de 2021, describiendo el implante como una “DLL maliciosa residente en memoria”.
Nobelium es el apodo asignado por la compañía al grupo de hacking de estado-nación ampliamente conocido como APT29, The Dukes, o Cozy Bear – una amenaza persistente avanzada que se ha atribuido al Servicio de Inteligencia Exterior de Rusia (SVR) – y que se cree ha estado detrás del ataque a gran escala dirigido a SolarWinds que se dio a conocer en diciembre de 2020. El adversario subyacente también se está vigilando bajo una variedad de nombres en clave como UNC2452 (FireEye), SolarStorm (Unit 42), StellarParticle (CrowdStrike), Dark Halo (Volexity) y Iron Ritual (Secureworks).
FoggyWeb, que se instala mediante un cargador explotando una técnica denominada secuestro de órdenes de búsqueda DLL, es capaz de transmitir información sensible desde un servidor AD FS comprometido, así como de recibir y ejecutar cargas útiles maliciosas adicionales recuperadas de un servidor remoto controlado por el atacante. También está diseñado para supervisar todas las solicitudes HTTP GET y POST entrantes enviadas al servidor desde la intranet (o Internet) e interceptar las solicitudes HTTP que sean de su interés.
“Proteger los servidores de AD FS es clave para mitigar los ataques de Nobelium”, afirman los investigadores. “Detectar y bloquear el malware, la actividad de los atacantes y otros artefactos maliciosos en los servidores AD FS puede romper los pasos críticos en las cadenas de ataque Nobelium conocidas. Los clientes deberían revisar la configuración de sus servidores AD FS e implementar cambios para proteger estos sistemas de los ataques.”