Un altro malware utilizzato dagli aggressori che hanno effettuato l’attacco alla catena di fornitura del software SolarWinds a dicembre è stato identificato da Microsoft.
I ricercatori hanno scoperto una serie di moduli utilizzati dal gruppo di attacco, che Microsoft chiama Nobelium. Gli Stati Uniti e il Regno Unito hanno ufficialmente accusato l’unità di hacking del Russian Foreign Intelligence Service (SVR), nota anche come APT29, Cozy Bear e The Dukes, di essere responsabile dell’attacco ad aprile.
FoggyWeb può creare una backdoor permanente per gli intrusi
Questo malware chiamato FoggyWeb crea una backdoor che gli intrusi utilizzano dopo aver ottenuto l’accesso a un server mirato.
In questo scenario, il team impiega una serie di misure per rubare i nomi utente e le password del server Active Directory Federation Services (AD FS) al fine di ottenere l’accesso a livello di amministratore. Sovrascrivendo il record di avvio principale, un utente malintenzionato può rimanere all’interno di una rete dopo una pulizia. Dall’aprile 2021, FoggyWeb è stato osservato in natura, secondo Microsoft.
Microsoft avverte gli utenti del malware e fornisce alcuni consigli
Ramin Nafisi del Microsoft Threat Intelligence Center afferma: “Nobelium utilizza FoggyWeb per esfiltrare in remoto il database di configurazione dei server AD FS compromessi, il certificato di firma dei token decrittografato e il certificato di decrittografia dei token, nonché per scaricare ed eseguire componenti aggiuntivi”.
“FoggyWeb è una backdoor passiva e altamente mirata in grado di estrarre in remoto informazioni sensibili da un server ADFS compromesso. Può anche ricevere componenti dannosi aggiuntivi da un server di comando e controllo (C2) ed eseguirli sul server compromesso”, aggiunge.
Questa backdoor consente a un utente malintenzionato di sfruttare il token SAML (Security Assertion Markup Language), che viene utilizzato per facilitare l’accesso degli utenti alle applicazioni.
Microsoft consiglia ai consumatori potenzialmente interessati di seguire queste tre azioni chiave: controllare l’infrastruttura locale e cloud per le configurazioni e le impostazioni per utente e per applicazione; rimuovere l’accesso di utenti e app, esaminare le configurazioni e rilasciare nuove credenziali avanzate; e utilizzare un modulo di sicurezza hardware per impedire a FoggyWeb di rubare segreti dai server AD FS.