Nobelium utiliza malware personalizado para puertas traseras de los dominios de Windows

Microsoft ha descubierto un nuevo malware utilizado por el grupo de piratería de Nobelium para implementar cargas útiles adicionales y robar información confidencial de los servidores de Active Directory Federation Services (AD FS).

Nobelium, el actor de amenazas detrás del ataque a la cadena de suministro de SolarWinds del año pasado que comprometió a varias agencias federales de EE. UU., Es la división de piratería del Servicio de Inteligencia Exterior de Rusia (SVR), comúnmente conocida como APT29, The Dukes o Cozy Bear.

En abril, el gobierno de Estados Unidos acusó oficialmente al departamento de SVR de «llevar a cabo la campaña de ciberespionaje a gran escala».

La firma de ciberseguridad Volexity también ha vinculado los ataques a los operadores de APT29 en función de las tácticas observadas en incidentes anteriores desde 2018.

En uso en la naturaleza desde abril de 2021

El malware nombrado por investigadores del Microsoft Threat Intelligence Center (MSTIC) Telaraña de niebla, es una puerta trasera «pasiva y muy dirigida» que abusa del lenguaje de marcado de aserción de seguridad de tokens (SAML).

Su propósito es ayudar a los atacantes a extraer de forma remota información confidencial de los servidores AD FS comprometidos mediante la configuración de escuchas HTTP para URI definidos por el actor para interceptar las solicitudes GET / POST enviadas al servidor AD FS que tienen como objetivo cumplir con los patrones de URI personalizados.

«NOBELIUM usa FoggyWeb para exfiltrar de forma remota la base de datos de configuración de los servidores AD FS comprometidos, el certificado de firma de token descifrado y el certificado de descifrado de token, y para descargar y ejecutar componentes adicionales», dijo Microsoft.

«También puede recibir componentes maliciosos adicionales de un servidor de comando y control (C2) y ejecutarlos en el servidor comprometido».

FoggyWeb funciona como una puerta trasera persistente que permite el abuso del token SAML y configura los escuchas HTTP para los URI definidos por el actor para interceptar las solicitudes GET / POST enviadas al servidor AD FS que coinciden con los patrones de URI personalizados.

Los piratas informáticos del estado ruso han sido observados en la naturaleza con la puerta trasera de FoggyWeb desde abril de 2021.

Consejos para la defensa contra FoggyWeb

Microsoft ya ha notificado a los clientes que han sido atacados o comprometidos a través de esta puerta trasera.

Las organizaciones que crean que pueden haber sido atacadas o comprometidas deben hacer lo siguiente:

• Monitorear la infraestructura local y en la nube, incluida la configuración, la configuración por usuario y por aplicación, las reglas de reenvío y cualquier otro cambio que el actor pueda haber realizado para mantener su acceso.
• Elimine el acceso de usuarios y aplicaciones, revise las configuraciones para cada uno y vuelva a emitir credenciales nuevas y seguras de acuerdo con las mejores prácticas documentadas de la industria.
• Utilizar uno Módulo de seguridad de hardware (HSM) como se describe en Protección de servidores AD FS para evitar que FoggyWeb se filtre secretos.

En mayo, los investigadores de Microsoft también revelaron otras cuatro familias de malware utilizadas por Nobelium en sus ataques: un descargador llamado «BoomBox», un archivo adjunto HTML llamado «EnvyScout», un descargador y lanzador de shellcode llamado «VaporRage» y un cargador llamado «NativeZone» ,

En marzo, se detallaron otras tres cepas de malware Nobelium utilizadas para la persistencia en capas: una puerta trasera de comando y control llamada «GoldMax», una herramienta de persistencia y un dropper de malware llamado «Sibot», y una herramienta de rastreo HTTP que se rastrea como «GoldFinder» .