Microsoft ha advertido sobre una nueva herramienta llamada Foggyweb la cual opera como puerta trasera para acceder a servidores de Microsoft Active Directory Federation Services (AD FS). Este ataque lo lleva a cabo un grupo de actores de amenazas llamado Nobelium.
Microsoft confirmó que tiene evidencia de FoggyWeb en uso activo desde al menos abril de este año, y que se ha puesto en contacto con todos los clientes que consideró "objetivo o comprometido por esta actividad".
¡Quién es Nobelium!
Nobelium es un grupo de ciberactores identificados como APT29 con presencia activa desde 2008, vinculado directamente con operaciones de ciberespionaje del gobierno Ruso centrados principalmente en compañías de infraestructura y servicios críticos como:
Este ciberactor ha utilizado múltiples herramientas diseñadas y utilizadas únicamente por APT29 ,por lo tanto no se encuentran disponibles de forma pública ni ampliamente explotadas por otros ciberactores, como parte de sus técnicas se encuentra el abuso de vulnerabilidades conocidas (CVE) y técnicas como spearphishing, sin embargo cabe destacar que pese a registrar estas tecnicas en ataques anteriores no es posible relacionar una tecnica en particular en el despliegue de FoggyWeb.
¿Qué es FoggyWeb?
Es una herramienta diseñada para extraer credenciales, bases de datos de configuración, certificados de firma de tokens, descifrado de tokens cifrados y para descargar componentes adicionales con el fin de configurar una puerta trasera permanente y poder ampliar la afectación en la red.
Tras la carga del backdoor FoggyWeb (originalmente llamado Microsoft.IdentityServer.WebExtension.dll) este funciona como una puerta trasera pasiva y persistente que permite el abuso del token de lenguaje de marcado de aserción de seguridad (SAML), esta herramienta es controlada remotamente en el servidor, con un sistema de comando y control disfrazado inteligentemente como solicitudes HTTP GET y POST.
El Backdoor de FoggyWeb es altamente omnipresente y dirigido capaz de filtrar de forma remota datos confidenciales, recibir comandos maliciosos del servidor C2 controlado por el atacante y ejecutarlos en el servidor de la víctima para descargar y ejecutar componentes adicionales.
“Microsoft ha confirmado que es así como los sistemas comprometidos por el malware filtrarán credenciales y otros datos privados. Una vez que Nobelium obtiene las credenciales y compromete con éxito un servidor, el actor confía en ese acceso para mantener la persistencia y profundizar su infiltración utilizando software y herramientas sofisticadas”.
Cómo funciona esta herramienta
En equipos AD FS sin HSM (Módulos de seguridad de hardware) FoggyWeb se almacena en el archivo cifrado Windows.Data.TimeZones.zh-PH.pri, mientras que el archivo malicioso version.dll puede describirse como su cargador.
Cuando se carga, la puerta trasera de FoggyWeb (instalada mediante un cargador DLL), es capaz de transmitir información sensible desde un servidor AD FS comprometido, permitiendo además recibir y ejecutar cargas útiles maliciosas adicionales recuperadas de un servidor remoto previamente controlado por el atacante.
Los agentes de escucha personalizados supervisan pasivamente todas las solicitudes HTTP GET y POST enviadas al servidor AD FS desde la intranet / Internet e interceptan las solicitudes HTTP que coinciden con los patrones de URI personalizados definidos por el actor.
Operación de FoggyWeb
A continuación se ejemplifica cómo opera este backdoor, el cual configura oyentes para patrones de URI codificados (que pueden variar según el objetivo).
Cuando el servidor AD FS recibe una solicitud HTTP GET que contiene el patrón URI la puerta trasera recupera el certificado de firma de tokens del servidor AD FS comprometido y luego de ofuscar, devuelve el certificado al emisor de la solicitud.
Patrón HTTP GET URI:
Cuando el servidor de AD FS recibe una solicitud HTTP POST que contiene el patrón URI la puerta trasera trata los datos POST ofuscados y comprimidos como ensamblado .NET o código fuente. Si es ensamblado, la puerta trasera ejecuta el ensamblado en el contexto de ejecución del proceso de AD FS.
Patrón HTTP POST URI:
“La protección de los servidores AD FS es clave para mitigar los ataques de Nobelium”
FoggyWeb es detectado por los Antivirus cómo:
Principales recomendaciones de microsoft
Microsoft ha notificado a todos los clientes que se ha observado que están afectados o comprometidos por esta actividad. Si cree que su organización se ha visto comprometida, Microsoft le recomienda:
Según la evidencia obtenida es posible mencionar que este ciberactor presenta técnicas y tácticas altamente sofisticadas en sus vectores de ataque, lo que demuestra una gran capacidad tecnológica de infraestructura y recursos económicos debido a su directa vinculación con operaciones de CiberEspionaje del gobierno Ruso.
En base a esto es posible mencionar que el móvil de los ataques no se centra en la monetización, sino más bien en la obtención de información sensible y estratégica de infraestructuras críticas que permitan conocer mejor al “Adversario”.
Si bien sus ataques han sido ampliamente enfocados en Europa y Estados Unidos, existen registros de organizaciones afectadas en todos los continentes, mientras actualmente LATAM no ha estado ajeno a este ciberactor evidenciándose en Brasil afectaciones que corresponden a "FroggyWeb.
El Centro de Ciberinteligencia de Entel CyberSecure recomienda lo siguiente:
https://www.microsoft.com/security/blog/20... |