FoggyWeb de Nobelium afecta los Active Directory de Microsoft

Microsoft ha advertido sobre una nueva herramienta llamada Foggyweb la cual opera como puerta trasera para acceder a servidores de Microsoft Active Directory Federation Services (AD FS). Este ataque lo lleva a cabo un grupo de actores de amenazas llamado Nobelium.

Microsoft confirmó que tiene evidencia de FoggyWeb en uso activo desde al menos abril de este año, y que se ha puesto en contacto con todos los clientes que consideró "objetivo o comprometido por esta actividad". 

¡Quién es Nobelium!

Nobelium es un grupo de ciberactores identificados como APT29 con presencia activa desde 2008, vinculado directamente con operaciones de ciberespionaje del gobierno Ruso centrados principalmente en compañías de infraestructura y servicios críticos como:

• Gobiernos
• Servicios financieros
• Salud
• Telecomunicaciones
• Transporte
• Minería
• Farmacéuticas
• Defensa
• Energia

Este ciberactor ha utilizado múltiples herramientas diseñadas y utilizadas únicamente por APT29 ,por lo tanto no se encuentran disponibles de forma pública ni ampliamente explotadas por otros ciberactores, como parte de sus técnicas se encuentra el abuso de vulnerabilidades conocidas (CVE) y técnicas como spearphishing, sin embargo cabe destacar que pese a registrar estas tecnicas en ataques anteriores no es posible relacionar una tecnica en particular en el despliegue de FoggyWeb.

¿Qué es FoggyWeb?

Es una herramienta diseñada para extraer credenciales, bases de datos de configuración, certificados de firma de tokens, descifrado de tokens cifrados y para descargar componentes adicionales con el fin de configurar una puerta trasera permanente y poder ampliar la afectación en  la red.

Tras la carga del backdoor FoggyWeb (originalmente llamado Microsoft.IdentityServer.WebExtension.dll) este funciona como una puerta trasera pasiva y persistente que permite el abuso del token de lenguaje de marcado de aserción de seguridad (SAML), esta herramienta es controlada remotamente en el servidor, con un sistema de comando y control disfrazado inteligentemente como solicitudes HTTP GET y POST.

El Backdoor  de FoggyWeb es altamente omnipresente y dirigido capaz de filtrar de forma remota datos confidenciales, recibir comandos maliciosos del servidor C2 controlado por el atacante y ejecutarlos en el servidor de la víctima para descargar y ejecutar componentes adicionales.

“Microsoft ha confirmado que es  así como los sistemas comprometidos por el malware filtrarán credenciales y otros datos privados. Una vez que Nobelium obtiene las credenciales y compromete con éxito un servidor, el actor confía en ese acceso para mantener la persistencia y profundizar su infiltración utilizando software y herramientas sofisticadas”.

Cómo funciona esta herramienta

En equipos AD FS sin HSM (Módulos de seguridad de hardware) FoggyWeb se almacena en el archivo cifrado Windows.Data.TimeZones.zh-PH.pri, mientras que el archivo malicioso version.dll puede describirse como su cargador.

Cuando se carga, la puerta trasera de FoggyWeb (instalada mediante un cargador DLL), es capaz de transmitir información sensible desde un servidor AD FS comprometido, permitiendo además recibir y ejecutar cargas útiles maliciosas adicionales recuperadas de un servidor remoto previamente controlado por el atacante.

Los agentes de escucha personalizados supervisan pasivamente todas las solicitudes HTTP GET y POST enviadas al servidor AD FS desde la intranet / Internet e interceptan las solicitudes HTTP que coinciden con los patrones de URI personalizados definidos por el actor.

Operación de FoggyWeb 

A continuación se ejemplifica cómo opera este backdoor, el cual configura oyentes para patrones de URI codificados (que pueden variar según el objetivo).

Cuando el servidor AD FS recibe una solicitud HTTP GET que contiene el patrón URI la puerta trasera recupera el certificado de firma de tokens del servidor AD FS comprometido y luego de ofuscar,  devuelve el certificado al emisor de la solicitud.

Patrón HTTP GET URI:

• /adfs/portal/images/theme/light01/profile.webp
• /adfs/portal/images/theme/light01/background.webp
• /adfs/portal/images/theme/light01/logo.webp

Cuando el servidor de AD FS recibe una solicitud HTTP POST que contiene el patrón URI la puerta trasera trata los datos POST ofuscados y comprimidos como ensamblado .NET o código fuente. Si es ensamblado, la puerta trasera ejecuta el ensamblado en el contexto de ejecución del proceso de AD FS.

Patrón HTTP POST URI:

• /adfs / services / trust / 2005 / samlmixed / upload

“La protección de los servidores AD FS es clave para mitigar los ataques de Nobelium”

FoggyWeb es detectado por los Antivirus cómo:

• Cargado Trojan: Win32 / FoggyWeb.A! Dha
• Puerta trasera Trojan: MSIL / FoggyWeb.A! Dha

Principales recomendaciones de microsoft

Microsoft ha notificado a todos los clientes que se ha observado que están afectados o comprometidos por esta actividad. Si cree que su organización se ha visto comprometida, Microsoft le recomienda:

• Audite su infraestructura local y en la nube, incluida la configuración, la configuración por usuario y por aplicación, las reglas de reenvío y otros cambios que el actor podría haber realizado para mantener su acceso.
• Elimine el acceso de usuarios y aplicaciones, revise las configuraciones para cada uno y vuelva a emitir credenciales nuevas y sólidas siguiendo las mejores prácticas documentadas de la industria.
• Use un módulo de seguridad de hardware (HSM)  como se describe en la protección de los servidores de AD FS para evitar la filtración de secretos por parte de FoggyWeb.

Según la evidencia obtenida es posible mencionar que este ciberactor presenta técnicas y tácticas altamente sofisticadas en sus vectores de ataque, lo que demuestra una gran capacidad tecnológica de infraestructura y recursos económicos debido a su directa vinculación con operaciones de CiberEspionaje del gobierno Ruso.

En base a esto es posible mencionar que el móvil de los ataques no se centra en la  monetización, sino más bien en la obtención de información sensible y estratégica de infraestructuras críticas que permitan conocer mejor al “Adversario”.

Si bien sus ataques han sido ampliamente enfocados en Europa y Estados Unidos, existen registros de organizaciones afectadas en todos los continentes, mientras actualmente LATAM no ha estado ajeno a este ciberactor evidenciándose en Brasil afectaciones que corresponden a "FroggyWeb.

El Centro de Ciberinteligencia de Entel CyberSecure recomienda lo siguiente:

• Generar una regla personalizada para bloqueos de IOC’s en perfiles entrantes perimetrales.
• Instalar las actualizaciones del fabricante disponibles en medios oficiales del proveedor, previo análisis del impacto que podría provocar en los servicios críticos para el negocio de su organización. Para ello consulte con su personal técnico o áreas resolutorias correspondientes.
• Proteger el protocolo RDP:
  • Deshabilite los servicios RDP, si no es necesario. La desactivación de servicios no utilizados e innecesarios ayuda a reducir su exposición a las vulnerabilidades de seguridad, y es una buena práctica de seguridad.
  • Si no es posible cerrarlos, límite las direcciones de origen que pueden acceder a los puertos.
  • Proteger el acceso a los sistemas RDP, bloqueando el sistema local en lugar del sistema remoto. Incluso si el primero no tiene valor, la sesión RDP solo estará protegida limitando el acceso al sistema cliente. 
  • Desconectar sesiones RDP en lugar de bloquearlas, esto invalida la sesión actual, lo que impide una reconexión automática de la sesión RDP sin credenciales. 
  • Bloquear bidireccionalmente el puerto TCP 3389 utilizando un firewall o hacerlo accesible sólo a través de una VPN privada. 
  • Habilitar la autenticación de nivel de red (NLA).
• Tener políticas de respaldo periódico que se almacenen fuera de la red organizacional.
• Escanear todos los archivos adjuntos, antes de abrirlos, con un antivirus que detecte comportamientos para combatir los ransomwares.
• Mantener una buena estrategia de respaldo de información: sistemas de copias de seguridad que deben estar aisladas de la red; y políticas de seguridad. Lo anterior permitirá neutralizar el ataque, restaurar las operaciones y evitar el pago del rescate.
• Actualizar los equipos con Windows a las últimas versiones.
• Nunca seguir la instrucción de deshabilitar las funciones de seguridad, si un correo electrónico o documento lo solicita.
• Establecer políticas de seguridad en el sistema para impedir la ejecución de ficheros desde directorios comúnmente utilizados por Ransomware (App Data, Local App Data, etc.)
• Disponer de sistemas antispam para correos electrónicos, de esta manera se reducen las posibilidades de infección a través de campañas masivas de malspam por correo electrónico.
• Mantener listas de control de acceso para las unidades mapeadas en red restringiendo los privilegios de escritura. Con esto podrá identificar el impacto generado por el cifrado de archivos, entendiendo que el secuestro de información se producirá en todas las unidades de red mapeadas en el equipo víctima.
• Seguir las normativas internacionales tales como ISO 27001:2013 en su control A.7.2.2 “Concienciación con educación y capacitación en seguridad de la información” o NIST PR.AT-1: “Todos los usuarios se encuentran entrenados e informados”, a fin de tener bases para divulgar campañas educativas orientadas a nivel de usuarios respecto al correcto uso de las herramientas tecnológicas, haciendo énfasis en cómo proceder al recibir correos de orígenes desconocidos, objeto prevenir que sus usuarios sean víctimas de entes maliciosos.