Advertencia de Microsoft: este malware crea un “persistent backdoor” para los hackers
Esta puerta trasera personalizada permite a los atacantes robar tokens y certificados de la plataforma de identidad de Microsoft de forma remota.
Microsoft ha descubierto otra pieza de malware utilizada por los atacantes que estaban detrás del ataque a la cadena de suministro de software SolarWinds descubierto en diciembre .
Los investigadores de seguridad han descubierto numerosos módulos utilizados por el grupo de ataque, al que Microsoft llama Nobelium. En abril, EE. UU. Y el Reino Unido culparon oficialmente del ataque a la unidad de piratería del Servicio de Inteligencia Exterior de Rusia (SVR), que también se conoce como APT29, Cozy Bear y The Dukes.
Microsoft descubrió en marzo los componentes GoldMax, GoldFinder y Sibot de Nobelium , basándose en otro malware del grupo, incluidos Sunburst / Solarigate, Teardrop y Sunspot.
El malware recién descubierto, llamado FoggyWeb por Microsoft, es una puerta trasera utilizada por los atacantes después de que un servidor objetivo ya se ha visto comprometido.
En este caso, el grupo utiliza varias tácticas para robar nombres de usuario y contraseñas de red para obtener acceso de nivel de administrador a los servidores de Active Directory Federation Services ( AD FS ), lo que les da acceso a la infraestructura de administración de identidad y acceso para controlar el acceso de los usuarios a las aplicaciones y los recursos. . Esto permite a los atacantes permanecer dentro de una red incluso después de una limpieza. FoggyWeb se ha utilizado en la naturaleza desde abril de 2021, según Microsoft.
“Nobelio utiliza FoggyWeb de forma remota exfiltrate la base de datos de configuración de los servidores de AD FS comprometidas, descifrado de firma de tokens de certificado y el certificado de red en el descifrado , así como para descargar y ejecutar componentes adicionales,” explica Ramin Nafisi del Centro de Inteligencia de amenaza Microsoft .
“FoggyWeb es una puerta trasera pasiva y altamente dirigida capaz de extraer de forma remota información confidencial de un servidor AD FS comprometido. También puede recibir componentes maliciosos adicionales de un servidor de comando y control (C2) y ejecutarlos en el servidor comprometido”, Nafisi agrega.
La puerta trasera permite el abuso del token del Lenguaje de marcado de aserción de seguridad (SAML), que se utiliza para ayudar a los usuarios a autenticarse en las aplicaciones más fácilmente.
Microsoft recomienda que los clientes potencialmente afectados tomen tres pasos clave: auditar la infraestructura local y en la nube para las configuraciones, y las configuraciones por usuario y por aplicación; eliminar el acceso de usuarios y aplicaciones, revisar configuraciones y volver a emitir credenciales nuevas y sólidas; y el uso de un módulo de seguridad de hardware para evitar que FoggyWeb robe secretos de los servidores de AD FS.
Microsoft descubrió en mayo más herramientas de infección de Noeblium , incluidas EnvyScout, BoomBox, NativeZone y VaporRage, así como una campaña de spear-phishing basada en un servicio legítimo de marketing por correo electrónico de EE. UU .
referencia: https://www.zdnet.com/article/microsoft-warning-this-malware-creates-a-persistent-backdoor-for-hackers/?ftag=TRE-03-10aaa6b&bhid=%7B%24external_id%7D&mid=%7B%24MESSAGE_ID%7D&cid=%7B%24contact_id%7D&eh=%7B%24CF_emailHash%7D
