Rilevamento del Backdoor FoggyWeb
Indice:
Recentemente Microsoft ha scoperto un altro malware utilizzato dal famigerato gruppo APT NOBELIUM dalla primavera del 2021. La nuova minaccia, soprannominata FoggyWeb, funziona come una backdoor post-sfruttamento in grado di esfiltrare informazioni dai server dei servizi di federazione di Active Directory (AD FS). Il malware è stato utilizzato in attacchi mirati contro diverse organizzazioni a livello globale rimanendo inosservato per mesi.
APT NOBELIUM
NOBELIUM è un giocatore relativamente nuovo nell’arena delle minacce informatiche, con i primi segnali di attività dell’APT risalenti alla fine del 2019. Da allora, NOBELIUM si è guadagnato la reputazione di un collettivo di hacker altamente sofisticato che sfrutta un impressionante batch di campioni di malware personalizzati per avanzare con attacchi epocali.
Secondo Microsoft, NOBELIUM APT è responsabile dell’ attacco alla supply-chain di SolarWinds and campagna di spear-phishing mirata contro importanti agenzie governative e ONG a livello globale. Inoltre, questo gruppo ha sviluppato campioni di malware famosi come Sunburst, Sunspot, Teardrop, Goldmax, Sibot e GoldFinder.
Si ritiene che NOBELIUM sia un’unità attiva del famigerato gruppo APT29 sponsorizzato dallo stato russo (Cozy Bear, The Dukes) che lavora per conto del Servizio di intelligence estera russo (SVR).
Cos’è FoggyWeb?
Simile ad altri campioni nel toolkit di NOBELIUM, FoggyWeb è una backdoor passiva altamente mirata utilizzata per ottenere il livello di amministratore sui server AD FS compromessi. È in grado di abusare del Security Assertion Markup Language (SAML), solitamente applicato per un’autenticazione utente fluida, per ottenere un accesso persistente alle risorse AD FS. Abusare dello standard SAML non è una novità per l’APT NOBELIUM. In precedenza il gruppo è stato avvistato a sfruttare l’ attacco Golden SAML per ampliare un compromesso legato all’hack di SolarWinds.
Una volta che gli avversari ottengono l’accesso iniziale al server AD FS, distribuiscono FoggyWeb per catturare il database di configurazione, i certificati di firma dei token decriptati e i certificati di decrittazione dei token. Questi dati altamente sensibili consentono agli hacker di penetrare negli account cloud dei dipendenti all’interno dell’infrastruttura organizzativa.
Oltre alla funzionalità di esfiltrazione dei dati, FoggyWeb può anche eseguire ulteriore codice dannoso ricevuto dal server di comando e controllo (C&C) degli attaccanti, come dettagliato nell’ analisi del Microsoft Threat Intelligence Center (MSTIC) .
Rilevazione della Backdoor di FoggyWeb
Per rilevare possibili attacchi contro la tua infrastruttura e prevenire l’infezione da FoggyWeb, puoi scaricare una regola Sigma comunitaria condivisa dal nostro prolifico contributore della Threat Bounty Nattatorn Chuensangarun.Â
FoggyWeb Backdoor che prende di mira il Server AD FS
Questa regola monitora i server AD FS all’interno dell’organizzazione e rileva la presenza di file specifici associati all’attività dannosa di NOBELIUM.
La rilevazione è disponibile per le seguenti piattaforme SIEM SECURITY ANALYTICS: Azure Sentinel, ELK Stack, Chronicle Security, Splunk, Sumo Logic, ArcSight, QRadar, Humio, Microsoft Defender ATP, FireEye, Carbon Black, LogPoint, Graylog, Regex Grep, Microsoft PowerShell, RSA NetWitness, Apache Kafka ksqlDB, Securonix.
La regola è mappata sulla metodologia MITRE ATT&CK affrontando le tattiche di Accesso Iniziale e la tecnica Exploit Public-Facing Applications (t1190) così come le tattiche di Accesso alle Credenziali e la sotto-tecnica dei Token SAML (t1606.002) della tecnica Forge Web Credentials (t1606).
Inoltre, per individuare la presenza della backdoor FoggyWeb nell’infrastruttura organizzativa, puoi scaricare una regola di comportamento Sigma basata sulla comunità sviluppata da Florian Roth.
Caricamento DLL Backdoor FoggyWeb
Questa regola rileva l’attività di caricamento delle immagini DLL come usato dal loader della backdoor FoggyWeb.
La rilevazione è disponibile per le seguenti piattaforme SIEM SECURITY ANALYTICS: Azure Sentinel, ELK Stack, Chronicle Security, Splunk, Sumo Logic, ArcSight, QRadar, Humio, Microsoft Defender ATP, FireEye, Carbon Black, LogPoint, Graylog, Regex Grep, Microsoft PowerShell, RSA NetWitness, Apache Kafka ksqlDB, Securonix, Qualys.
In caso di identificazione della presenza di FoggyWeb all’interno delle risorse della tua azienda, puoi seguire una serie di passaggi di mitigazione forniti da Microsoft nelle sue migliori pratiche consiglio.
Esplora la piattaforma SOC Prime per portare la tua esperienza di cybersecurity al livello successivo. Individua istantaneamente le minacce più recenti all’interno di oltre 20 tecnologie SIEM XDR supportate, aumenta la consapevolezza di tutti gli attacchi più recenti nel contesto delle vulnerabilità sfruttate e della matrice MITRE ATT&CK, e ottimizza le tue operazioni di sicurezza, ricevendo anche feedback anonimo dalla comunità globale di cybersecurity. Sei entusiasta di creare il tuo contenuto di rilevazione e ricevere denaro per il tuo contributo? Unisciti al nostro Threat Bounty Program!
