Casa > Ciber Noticias > FoggyWeb: Un nuevo y sofisticado backdoor llega a los servidores de Active Directory
CYBER NOTICIAS

FoggyWeb: Un nuevo y sofisticado backdoor llega a los servidores de Active Directory

niebla-web-sensores-de-puerta-traseratechforum

Hay una nueva puerta trasera en la naturaleza atribuida al actor de amenazas NOBELIUM, se cree que está detrás de la puerta trasera de SUNBURST, Malware Lágrima, y “componentes relacionados”.

Según Microsoft Threat Intelligence Center (MSTIC), el llamado FoggyWeb es una puerta trasera posterior a la explotación. El actor de amenazas NOBELIUM emplea múltiples técnicas para llevar a cabo el robo de credenciales. Su objetivo actual es obtener acceso de nivel de administrador a los servicios de federación de Active Directory (AD FS) servidores, la compañía dijo.




Puerta trasera de FoggyWeb: Visión de conjunto

Una vez que se obtiene acceso a un servidor comprometido, El propósito del actor de la amenaza es mantener la persistencia y profundizar su infiltración a través de software malicioso sofisticado.. FoggyWeb, siendo una herramienta de posexplotación, sirve para este propósito. Exfiltra de forma remota la base de datos de configuración de los servidores de AD FS comprometidos, así como certificados de firma de tokens y descifrado de tokens descifrados.

El malware también descarga y ejecuta componentes adicionales., según los atacantes’ necesidades específicas. FoggyWeb se ha utilizado en campañas activas desde abril 2021, Microsoft dijo de una manera muy informe técnico detallado.

La puerta trasera también se describe como “pasivo” y “altamente dirigido,” con capacidades sofisticadas de exfiltración de datos. “También puede recibir componentes maliciosos adicionales de un comando y control. (C2) servidor y ejecutarlos en el servidor comprometido,” agregaron los investigadores. También es digno de mención que el malware opera permitiendo el abuso del lenguaje de marcado de aserción de seguridad. (SAML) token en AD FS.

"La puerta trasera configura escuchas HTTP para URI definidos por el actor que imitan la estructura de los URI legítimos utilizados por la implementación de AD FS del objetivo.. Los oyentes personalizados monitorean pasivamente todas las solicitudes HTTP GET y POST enviadas al servidor AD FS desde la intranet / Internet e interceptan las solicitudes HTTP que coinciden con los patrones de URI personalizados definidos por el actor.,” microsoft dijo.

FoggyWeb se almacena en un archivo cifrado llamado Windows.Data.TimeZones.zh-PH.pri, mientras que el archivo malicioso version.dll actúa como cargador. El archivo DLL utiliza las interfaces de alojamiento CLR y las API para cargar FoggyWeb, una DLL administrada. Esto sucede en el mismo dominio de aplicación donde se ejecuta el código administrado legítimo de AD FS.

Gracias a este truco, el malware obtiene acceso a la base de código y los recursos de AD FS, la base de datos de configuración de AD FS incluida. Además, la puerta trasera adquiere los permisos de la cuenta de servicio de AD FS necesarios para acceder a la base de datos de configuración de AD FS.

Dado que FoggyWeb se carga en el mismo dominio de aplicación que el código administrado de AD FS, obtiene acceso programático a las clases legítimas de AD FS, métodos, propiedades, campos, Objetos y componentes que posteriormente son aprovechados por FoggyWeb para facilitar sus operaciones maliciosas., el informe señaló.

Dado que FoggyWeb es independiente de la versión de AD FS, no es necesario realizar un seguimiento de los esquemas y los nombres de las tablas de configuración heredadas frente a las modernas, nombres de canalizaciones con nombre y otras propiedades dependientes de la versión de AD FS.

“La protección de los servidores de AD FS es clave para mitigar los ataques NOBELIUM. Detectar y bloquear malware, actividad del atacante, y otros artefactos maliciosos en los servidores de AD FS pueden romper pasos críticos en las conocidas cadenas de ataque NOBELIUM,” microsoft llegó a la conclusión.

El año pasado, el troyano Sunburst fue detenido por un interruptor de apagado

En diciembre 2020, la peligrosa El troyano Sunburst se detuvo mediante un interruptor de apagado conjunto ideado por un equipo de especialistas de Microsoft, Ve papi, y FireEye.

Hubo mucha información disponible sobre el troyano Sunburst después de que se usó en un ataque de intrusión contra Vientos solares. Se informó que el incidente de seguridad contra la empresa se realizó a través de su propia aplicación llamada Orion.




Tras el descubrimiento del malware y dada la gravedad de la situación, un equipo conjunto de expertos ideó un interruptor de interrupción para evitar que el malware se propague más. Los expertos detectaron que un solo dominio controlado por piratas informáticos está operando el servicio principal de comando y control..

El interruptor de interrupción funcionó al deshabilitar nuevas infecciones y bloquear la ejecución de las anteriores al detener la actividad en el dominio..

Milena Dimitrova

Un escritor inspirado y administrador de contenido que ha estado con SensorsTechForum desde que comenzó el proyecto.. Un profesional con 10+ años de experiencia en la creación de contenido atractivo. Centrado en la privacidad de los usuarios y el desarrollo de malware, ella cree firmemente en un mundo donde la seguridad cibernética juega un papel central. Si el sentido común no tiene sentido, ella estará allí para tomar notas. Esas notas pueden convertirse más tarde en artículos! Siga Milena @Milenyim

Más Mensajes

Sígueme:
Gorjeo

Dejar un comentario

Su dirección de correo electrónico no será publicada. Los campos necesarios están marcados *

This website uses cookies to improve user experience. By using our website you consent to all cookies in accordance with our política de privacidad.
Estoy de acuerdo