Detección de Backdoor FoggyWeb
Tabla de contenidos:
Microsoft ha descubierto recientemente otra pieza de malware utilizada por el infame grupo APT NOBELIUM desde la primavera de 2021. La nueva amenaza, llamada FoggyWeb, actúa como una puerta trasera post-explotación capaz de exfiltrar información de los servidores de Active Directory Federation Services (AD FS). El malware se ha utilizado en ataques dirigidos contra múltiples organizaciones a nivel mundial, pasando desapercibido durante meses.
APT NOBELIUM
NOBELIUM es un participante relativamente nuevo en el ámbito de las amenazas cibernéticas, con las primeras señales de actividad de APT rastreadas hasta finales de 2019. Desde entonces, NOBELIUM ha ganado reputación como un colectivo de hacking altamente sofisticado que utiliza un impresionante lote de muestras de malware personalizado para llevar a cabo ataques históricos.
Según Microsoft, APT NOBELIUM está detrás del ataque a la cadena de suministro de SolarWinds and campaña de phishing dirigida contra importantes agencias gubernamentales y ONG a nivel mundial. Además, este grupo desarrolló muestras de malware tan notorios como Sunburst, Sunspot, Teardrop, Goldmax, Sibot, y GoldFinder.
Se cree que NOBELIUM es una unidad activa del infame grupo APT29 patrocinado por el estado ruso (Cozy Bear, The Dukes) que trabaja en nombre del Servicio de Inteligencia Exterior Ruso (SVR).
¿Qué es FoggyWeb?
Similar a otras muestras en la suite de herramientas NOBELIUM, FoggyWeb es una puerta trasera pasiva y altamente selectiva aplicada para obtener nivel de acceso administrativo en los servidores AD FS comprometidos. Es capaz de mal utilizar el token de Seguridad de Lenguaje de Aserciones de Marcado (SAML), normalmente usado para una autenticación de usuario fluida, para obtener acceso persistente a los recursos de AD FS. Abusar del estándar SAML no es nuevo para el APT NOBELIUM. Anteriormente se ha visto que el grupo utiliza el ataque de Golden SAML para escalar un compromiso relacionado con el hack de SolarWinds.
Una vez que los adversarios obtienen acceso inicial al servidor AD FS, despliegan FoggyWeb para capturar la base de datos de configuración, certificados de firma de token descifrados y certificados de descifrado de token. Estos datos altamente sensibles permiten a los hackers penetrar en las cuentas en la nube de los empleados dentro de la infraestructura organizacional.
Además de la funcionalidad de exfiltración de datos, FoggyWeb también puede ejecutar código malicioso adicional recibido desde el servidor de comando y control (C&C) de los atacantes, que el análisis por Microsoft Threat Intelligence Center (MSTIC) detalla.
Detección de la puerta trasera FoggyWeb
Para detectar posibles ataques contra su infraestructura y prevenir la infección de FoggyWeb, puede descargar una regla Sigma de la comunidad compartida por nuestro prolífico contribuyente de Threat Bounty Nattatorn Chuensangarun.
Puerta trasera FoggyWeb dirigida al servidor de AD FS
Esta regla monitorea los servidores AD FS dentro de la organización y detecta la presencia de archivos específicos asociados con la actividad maliciosa de NOBELIUM.
La detección tiene traducciones para las siguientes plataformas de ANÁLISIS DE SEGURIDAD SIEM: Azure Sentinel, ELK Stack, Chronicle Security, Splunk, Sumo Logic, ArcSight, QRadar, Humio, Microsoft Defender ATP, FireEye, Carbon Black, LogPoint, Graylog, Regex Grep, Microsoft PowerShell, RSA NetWitness, Apache Kafka ksqlDB, Securonix.
La regla está mapeada a la metodología MITRE ATT&CK abordando las tácticas de Acceso Inicial y la técnica de Explotación de Aplicaciones Expuestas públicamente (t1190) así como las tácticas de Acceso a Credenciales y la sub-técnica de Tokens SAML (t1606.002) de la técnica de Credenciales Web Forjadas (t1606).
Además, para detectar la presencia de la puerta trasera FoggyWeb en la infraestructura organizacional, puede descargar una regla Sigma basada en comportamiento desarrollada por la comunidad por Florian Roth.
Carga de DLL de la puerta trasera FoggyWeb
Esta regla detecta la actividad de carga de imagen DLL tal como la usa el cargador de puerta trasera FoggyWeb.
La detección tiene traducciones para las siguientes plataformas de ANÁLISIS DE SEGURIDAD SIEM: Azure Sentinel, ELK Stack, Chronicle Security, Splunk, Sumo Logic, ArcSight, QRadar, Humio, Microsoft Defender ATP, FireEye, Carbon Black, LogPoint, Graylog, Regex Grep, Microsoft PowerShell, RSA NetWitness, Apache Kafka ksqlDB, Securonix, Qualys.
En caso de identificar la presencia de FoggyWeb dentro de los activos de su empresa, puede seguir un conjunto de pasos de mitigación proporcionados por Microsoft en sus mejores prácticas consejo.
Explore la plataforma SOC Prime para llevar su experiencia en ciberseguridad al siguiente nivel. Cace instantáneamente las últimas amenazas dentro de más de 20 tecnologías SIEM XDR compatibles, aumente la conciencia de todos los últimos ataques en el contexto de vulnerabilidades explotadas y de la matriz MITRE ATT&CK, y optimice sus operaciones de seguridad, mientras recibe comentarios anonimizados de la comunidad global de ciberseguridad. ¿Está entusiasmado por crear su propio contenido de detección y ganar dinero por su contribución? ¡Únase a nuestro Programa Threat Bounty!
