Wed. Mar 13th, 2024

Nobelium, el grupo de amenazas persistentes avanzadas (APT) respaldado por Rusia que ganó notoriedad a fines de 2020 después de que comprometió la cadena de suministro de desarrollo de software de SolarWinds para acceder a objetivos de espionaje, continúa empleando técnicas novedosas en la búsqueda de nuevas víctimas.

Esto es de acuerdo con el Centro de Inteligencia de Amenazas de Microsoft (MSTIC), que ha publicado un nuevo análisis del malware descubierto recientemente utilizado por el grupo, al que ha denominado FoggyWeb.

El nuevo malware es una puerta trasera posterior a la explotación utilizada por Nobelium en busca de acceso de nivel de administrador a los servidores de Active Directory Federation Services (AD FS), lo que le permite mantener la persistencia dentro de las redes de sus víctimas.

Descrito como una “puerta trasera pasiva y altamente dirigida”, FoggyWeb se utiliza para exfiltrar de forma remota la base de datos de configuración de un servidor AD FS comprometido, certificado de firma de token descifrado y certificado de descifrado de token, y para descargar y ejecutar más componentes, según Ramin Nafisi de MSTIC. , que ha estado investigando el nuevo malware.

“El uso de FoggyWeb se ha observado en la naturaleza desde abril de 2021”, dijo Nafisi en un blog de divulgación. “Microsoft ha notificado a todos los clientes que se ha observado que están atacados o comprometidos por esta actividad”.

Para los defensores interesados ​​en evaluar si se han visto comprometidos o no, Microsoft recomienda una auditoría exhaustiva de la infraestructura local y en la nube, teniendo en cuenta las configuraciones, los ajustes por usuario y por aplicación, las reglas de reenvío y cualquier otro cambio que Nobelium pueda tener. hecha; la eliminación del acceso de usuarios y aplicaciones en espera de una revisión de las configuraciones para cada uno, y un restablecimiento de credenciales; y el uso de un módulo de seguridad de hardware, que es una buena práctica general cuando se trata de la seguridad del servidor de AD FS en cualquier caso, para evitar que FoggyWeb extraiga datos.

Microsoft dijo que ya implementó detecciones y protecciones para protegerse contra FoggyWeb, y más detalles, incluidos indicadores de compromiso (IOC), guía de mitigación, detalles de detección, etc., están disponibles para los usuarios de Azure Sentinel y Microsoft 365 Defender.

Jake Moore de ESET respaldó el llamado de Microsoft para que los defensores estén alerta. “Este notorio grupo es extremadamente sofisticado y se cree que está relacionado con uno de los mayores ataques del año”, dijo. “En este último descubrimiento, una vez que el servidor se ha visto comprometido a través de las credenciales obtenidas, se puede obtener y mantener el acceso con una mayor infiltración utilizando herramientas adicionales y malware en un estilo bastante impresionante”.

Además de nuevos malwares, que presumiblemente puede desarrollar y mantener gracias en parte a sus vínculos con el estado ruso, Nobelium también es conocido por recurrir a técnicas más comunes y fácilmente detectables, a menudo aprovechando las prácticas de seguridad laxas en sus objetivos para comprometerlos. .

Esto se evidenció a principios de 2021 cuando Microsoft descubrió que había sido golpeado en una campaña de rociado de contraseñas y ataques de fuerza bruta. En este caso, Nobelium obtuvo acceso al sistema de un miembro del personal de soporte de Microsoft y lo utilizó para acceder a los clientes intermedios de Microsoft.

Sin embargo, aunque las APT respaldadas por el estado son peligrosas y el factor James Bond significa que la actividad de espionaje recibe una gran atención generalizada, es posible que no presenten el riesgo más urgente para la organización promedio.

En un informe recientemente publicado, los investigadores de SecureWorks Counter Threat Unit (CTU) dijeron que grupos como Nobelium, que rastrea bajo la designación Iron Ritual, tienen “requisitos de inteligencia a largo plazo relativamente estáticos que se reflejan en su orientación”, y como tal , tienden a tener un enfoque limitado en el acceso a datos u organizaciones específicas, lo que los convierte en una amenaza menor que los delincuentes cibernéticos oportunistas o las bandas de ransomware.

SecureWorks dijo que el compromiso de SolarWinds era un buen ejemplo de esta tendencia, porque en todos los casos en los que sus investigadores identificaron que los clientes de SolarWinds habían descargado la actualización de la plataforma Orion comprometida, Nobelium rescindió en gran medida su propio acceso a esas redes una vez que alcanzó los objetivos gubernamentales previstos.

Related Post

Leave a Reply

Your email address will not be published. Required fields are marked *