Detección de MagicWeb: NOBELIUM APT utiliza sofisticada elusión de autenticación

[post-views]
agosto 30, 2022 · 3 min de lectura
Detección de MagicWeb: NOBELIUM APT utiliza sofisticada elusión de autenticación

Un notorio grupo APT rastreado como NOBELIUM (también conocido como APT29, Cozy Bear y The Dukes) añade nuevas amenazas a su conjunto de trucos maliciosos. El actor de amenaza, responsable de un hackeo de gran repercusión en 2020 de la empresa SolarWinds con sede en Texas, sigue siendo una banda criminal altamente activa, impactando en una amplia gama de industrias y organizaciones en los sectores público, privado y no gubernamental en los EE. UU., Europa y Asia Central.

En la última campaña, los adversarios despliegan el malware MagicWeb para mantener el acceso a los entornos infectados.

Detección de malware MagicWeb

Para asegurar que su sistema no sea un blanco fácil para los hackers de NOBELIUM, descargue una regla de Sigma lanzada por nuestro atento desarrollador de Threat Bounty Aytek Aytemur. La regla detecta cargas de .dll sospechosas y líneas de comando de PowerShell que NOBELIUM utiliza para enumerar DLLs no-Microsoft en el GAC:

Ejecución sospechosa de NOBELIUM al Enumerar DLLs no-Microsoft en GAC (vía cmdline)

Esta detección tiene traducciones para las siguientes plataformas SIEM, EDR y XDR: Microsoft Sentinel, Elastic Stack, Splunk, Humio, Sumo Logic, ArcSight, QRadar, FireEye, LogPoint, Graylog, Regex Grep, RSA NetWitness, Apache Kafka ksqlDB, AWS OpenSearch, Open Distro, y Snowflake.

La regla está alineada con el marco MITRE ATT&CK® v.10, abordando la táctica de Ejecución con Intérprete de Comandos y Scripts (T1059) como la técnica principal.

Siga las actualizaciones del contenido de detección relacionado con NOBELIUM APT en el repositorio del Threat Detection Marketplace de la plataforma SOC Prime. Presione el botón Detect & Hunt a continuación y desbloquee acceso ilimitado a la primera plataforma del mundo para defensa cibernética colaborativa, búsqueda de amenazas y descubrimiento que se integra con más de 26 plataformas SIEM, EDR y XDR. Si es nuevo en la plataforma SOC Prime, un proveedor líder de contenido de Detección como Código, explore una vasta colección de reglas Sigma con contexto relevante de amenaza, CTI y referencias MITRE ATT&CK, descripciones CVE, y reciba actualizaciones sobre tendencias de búsqueda de amenazas. ¡No se requiere registro! Presione el botón Explorar Contexto de Amenazas para saber más.

Detect & Hunt Explorar Contexto de Amenazas

Descripción de MagicWeb

NOBELIUM APT son conocidos por usar herramientas sofisticadas a lo largo de sus ataques. La puerta trasera MagicWeb es el último descubrimiento en su arsenal, detallado por los investigadores de seguridad de Microsoft . El malware de post-explotación permite a los atacantes mantener el acceso persistente a entornos comprometidos después de haber abusado de credenciales de administrador para acceder a un sistema AD FS, sustituyendo un DLL legítimo con un DLL malicioso.

El servidor de Federación de Directorios Activos (AD FS), que se refiere a servidores AD locales en lugar de Azure Active Directory en la nube, es el sistema de identidad empresarial objetivo de los ataques MagicWeb. Esta revelación de los investigadores de Microsoft también enfatiza la importancia de aislar AD FS y limitar el acceso al mismo.

La investigación sobre los incidentes basados en MagicWeb reveló similitudes sorprendentes con el malware FoggyWeb que había sido parte del arsenal de los hackers de NOBELIUM desde la primavera de 2021.

En la avalancha de nuevas amenazas, es vital mantenerse al día con los eventos relacionados con la industria de la ciberseguridad. Siga el blog de SOC Prime para las últimas noticias de seguridad y actualizaciones sobre lanzamientos de contenido de detección. ¿Está en busca de una plataforma confiable para distribuir su contenido de detección mientras promueve la defensa cibernética colaborativa? Únase al programa de crowdsourcing de SOC Prime para compartir sus reglas Sigma y YARA con la comunidad, automatizar la investigación de amenazas y recibir retroalimentación y validación de una comunidad de más de 28,000 profesionales de seguridad para impulsar sus operaciones de seguridad.

 

Tabla de Contenidos

¿Fue útil este artículo?

Dale me gusta y compártelo con tus compañeros.
Únase a la plataforma Detection as Code de SOC Prime para mejorar la visibilidad de las amenazas más relevantes para su negocio. Para ayudarle a comenzar y obtener un valor inmediato, reserve una reunión ahora con los expertos de SOC Prime.
Únase Gratis Reserve una Reunión

Publicaciones relacionadas

Detección del ataque Secret Blizzard: APT respaldada por rusia apunta a embajadas extranjeras en Moscú con malware ApolloShadow
Blog, Últimas Amenazas — 5 min de lectura
Detección del ataque Secret Blizzard: APT respaldada por rusia apunta a embajadas extranjeras en Moscú con malware ApolloShadow
Daryna Olyniychuk
Detección del Ataque APT41: Hackers Chinos Explotan Google Calendar y Entregan Malware TOUGHPROGRESS Que Apunta a Agencias Gubernamentales
Blog, Últimas Amenazas — 5 min de lectura
Detección del Ataque APT41: Hackers Chinos Explotan Google Calendar y Entregan Malware TOUGHPROGRESS Que Apunta a Agencias Gubernamentales
Daryna Olyniychuk
Detectar Ataques de APT28: la Unidad 26156 del GRU ruso Apunta a Empresas Occidentales de Logística y Tecnología que Coordinan Ayuda a Ucrania en una Campaña de Hackeo de Dos Años
Blog, Últimas Amenazas — 8 min de lectura
Detectar Ataques de APT28: la Unidad 26156 del GRU ruso Apunta a Empresas Occidentales de Logística y Tecnología que Coordinan Ayuda a Ucrania en una Campaña de Hackeo de Dos Años
Veronika Telychko