C'è una nuova backdoor allo stato brado attribuita all'attore della minaccia NOBELIUM, creduto di essere dietro la backdoor di SUNBURST, TEARDROP malware, e “componenti correlati”.
Secondo Microsoft Threat Intelligence Center (MTIC), il cosiddetto FoggyWeb è una backdoor post-sfruttamento. L'attore delle minacce NOBELIUM utilizza più tecniche per eseguire il furto di credenziali. Il suo obiettivo attuale è ottenere l'accesso a livello di amministratore ad Active Directory Federation Services (AD FS) server, ha detto la società.
FoggyWeb Backdoor: Panoramica
Una volta ottenuto l'accesso a un server compromesso, lo scopo dell'attore della minaccia è mantenere la persistenza e approfondire la sua infiltrazione tramite malware sofisticato. FoggyWeb, essere uno strumento post-sfruttamento, serve a questo scopo. Esfiltra in remoto il database di configurazione dei server ADFS compromessi, oltre a certificati di firma e decrittografia di token decrittografati.
Il malware scarica ed esegue anche componenti aggiuntivi, come per gli attaccanti’ esigenze specifiche. FoggyWeb è stato utilizzato nelle campagne attive da aprile 2021, Microsoft ha detto in un molto resoconto tecnico dettagliato.
La backdoor è anche descritta come “passivo” e “altamente mirato,” con sofisticate capacità di esfiltrazione dei dati. “Può anche ricevere componenti dannosi aggiuntivi da un comando e controllo (C2) server ed eseguirli sul server compromesso,” i ricercatori hanno aggiunto. È anche interessante notare che il malware opera consentendo l'abuso del Security Assertion Markup Language (SAML) token in ADFS.
"La backdoor configura i listener HTTP per URI definiti dall'attore che imitano la struttura degli URI legittimi utilizzati dalla distribuzione AD FS del target. I listener personalizzati monitorano passivamente tutte le richieste HTTP GET e POST in entrata inviate al server AD FS da intranet/internet e intercettano le richieste HTTP che corrispondono ai modelli URI personalizzati definiti dall'attore,” Microsoft ha detto.
FoggyWeb è memorizzato in un file crittografato chiamato Windows.Data.TimeZones.zh-PH.pri, mentre il file dannoso version.dll funge da caricatore. Il file DLL utilizza le interfacce di hosting CLR e le API per caricare FoggyWeb, una DLL gestita. Ciò accade nello stesso dominio dell'applicazione in cui viene eseguito il codice gestito ADFS legittimo.
Grazie a questo trucco, il malware ottiene l'accesso alla base di codice e alle risorse di ADFS, il database di configurazione di ADFS incluso. Inoltre, la backdoor acquisisce le autorizzazioni dell'account del servizio AD FS necessarie per accedere al database di configurazione di AD FS.
Poiché FoggyWeb viene caricato nello stesso dominio dell'applicazione del codice gestito di ADFS, ottiene l'accesso programmatico alle legittime classi AD FS, Metodi, proprietà, i campi, oggetti e componenti che vengono successivamente sfruttati da FoggyWeb per facilitare le sue operazioni dannose, il rapporto osserva.
Poiché FoggyWeb è indipendente dalla versione di AD FS, non ha bisogno di tenere traccia dei nomi e degli schemi delle tabelle di configurazione legacy rispetto a quelli moderni, nomi di pipe denominati e altre proprietà dipendenti dalla versione di ADFS.
“La protezione dei server ADFS è fondamentale per mitigare gli attacchi NOBELIUM. Rilevamento e blocco di malware, attività dell'attaccante, e altri artefatti dannosi sui server ADFS possono interrompere passaggi critici nelle catene di attacco NOBELIUM note,” Microsoft ha concluso.
L'anno scorso, il trojan Sunburst è stato fermato da un kill switch
In dicembre 2020, il pericoloso Il trojan Sunburst è stato fermato da un kill switch congiunto ideato da un team di specialisti di Microsoft, Vai papà, e FireEye.
Molte informazioni sono diventate disponibili sul Trojan Sunburst dopo che è stato utilizzato in un attacco di intrusione contro SolarWinds. L'incidente di sicurezza contro l'azienda è stato segnalato come avvenuto tramite la propria applicazione chiamata Orion.
A seguito della scoperta del malware e vista la gravità della situazione, un team congiunto di esperti ha ideato un kill switch per impedire al malware di propagarsi ulteriormente. Gli esperti hanno rilevato che un singolo dominio controllato dagli hacker gestisce il servizio di comando e controllo principale.
Il kill switch ha funzionato disabilitando le nuove infezioni e bloccando l'esecuzione di quelle precedenti interrompendo l'attività sul dominio.