Há uma nova porta dos fundos atribuída ao ator ameaçador NOBELIUM, Acredita-se que esteja por trás da porta dos fundos do SUNBURST, Malware TEARDROP, e “componentes relacionados”.
De acordo com o Microsoft Threat Intelligence Center (MSTIC), o chamado FoggyWeb é um backdoor pós-exploração. O agente de ameaça NOBELIUM emprega várias técnicas para realizar o roubo de credenciais. Seu objetivo atual é obter acesso de nível de administrador aos Serviços de Federação do Active Directory (AD FS) servidores, disse a empresa.
FoggyWeb Backdoor: visão global
Assim que o acesso for obtido a um servidor comprometido, o objetivo do ator da ameaça é manter a persistência e aprofundar sua infiltração por meio de malware sofisticado. FoggyWeb, sendo uma ferramenta pós-exploração, serve a este propósito. Ele exfila remotamente o banco de dados de configuração dos servidores AD FS comprometidos, bem como certificados de assinatura e descriptografia de tokens descriptografados.
O malware também baixa e executa componentes adicionais, de acordo com os atacantes’ necessidades específicas. FoggyWeb tem sido usado em campanhas ativas desde abril 2021, A Microsoft disse em um redação técnica detalhada.
A porta dos fundos também é descrita como “passiva” e “altamente direcionado,” com recursos sofisticados de exfiltração de dados. “Ele também pode receber componentes maliciosos adicionais de um comando e controle (C2) servidor e executá-los no servidor comprometido,” os pesquisadores acrescentaram. Também é digno de nota que o malware opera permitindo o abuso da Linguagem de marcação para autorização de segurança (SAML) token no AD FS.
“O backdoor configura ouvintes HTTP para URIs definidos pelo ator que imitam a estrutura dos URIs legítimos usados pela implantação do AD FS de destino. Os ouvintes personalizados monitoram passivamente todas as solicitações HTTP GET e POST de entrada enviadas ao servidor AD FS da intranet / internet e interceptam solicitações HTTP que correspondem aos padrões de URI personalizados definidos pelo ator,” Microsoft disse.
FoggyWeb é armazenado em um arquivo criptografado chamado Windows.Data.TimeZones.zh-PH.pri, enquanto o arquivo malicioso version.dll atua como um carregador. O arquivo DLL usa as interfaces de hospedagem CLR e APIs para carregar o FoggyWeb, uma DLL gerenciada. Isso acontece no mesmo domínio de aplicativo em que o código gerenciado AD FS legítimo é executado.
Graças a este truque, o malware obtém acesso à base de código e recursos do AD FS, o banco de dados de configuração do AD FS inclusive. além disso, o backdoor adquire as permissões de conta de serviço do AD FS necessárias para acessar o banco de dados de configuração do AD FS.
Como o FoggyWeb é carregado no mesmo domínio de aplicativo que o código gerenciado AD FS, ele ganha acesso programático às classes legítimas do AD FS, métodos, Propriedades, Campos, objetos e componentes que são posteriormente aproveitados pela FoggyWeb para facilitar suas operações maliciosas, o relatório observou.
Como o FoggyWeb é independente de versão do AD FS, ele não precisa manter o controle de nomes e esquemas de tabelas de configuração herdados e modernos, nomes de canais nomeados e outras propriedades dependentes de versão do AD FS.
“Proteger servidores AD FS é fundamental para mitigar ataques NOBELIUM. Detectando e bloqueando malware, atividade do atacante, e outros artefatos maliciosos em servidores AD FS podem quebrar etapas críticas em cadeias de ataque NOBELIUM conhecidas,” Microsoft concluiu.
Ano passado, o cavalo de Troia Sunburst foi interrompido por uma chave de segurança
Em dezembro 2020, o perigoso O trojan Sunburst foi interrompido por um interruptor de desligamento conjunto desenvolvido por uma equipe de especialistas da Microsoft, Vai Papai, e FireEye.
Muitas informações ficaram disponíveis sobre o cavalo de Troia Sunburst depois que ele foi usado em um ataque de intrusão contra SolarWinds. O incidente de segurança contra a empresa foi relatado por meio de seu próprio aplicativo chamado Orion.
Após a descoberta do malware e dada a gravidade da situação, uma equipe conjunta de especialistas desenvolveu um interruptor de eliminação para impedir que o malware se propagasse ainda mais. Os especialistas detectaram que um único domínio controlado por hacker está operando o serviço principal de comando e controle.
O interruptor de eliminação funcionou desativando novas infecções e bloqueando a execução das anteriores, interrompendo a atividade no domínio.
Milena Dimitrova
Um escritor inspirado e gerente de conteúdo que está com SensorsTechForum desde o início do projeto. Um profissional com 10+ anos de experiência na criação de conteúdo envolvente. Focada na privacidade do usuário e desenvolvimento de malware, ela acredita fortemente em um mundo onde a segurança cibernética desempenha um papel central. Se o senso comum não faz sentido, ela vai estar lá para tomar notas. Essas notas podem mais tarde se transformar em artigos! Siga Milena @Milenyim
Me siga: