Detecção do Backdoor FoggyWeb
Índice:
A Microsoft descobriu recentemente mais um malware utilizado pelo infame grupo APT NOBELIUM desde a primavera de 2021. A nova ameaça, chamada FoggyWeb, atua como uma backdoor pós-exploração capaz de exfiltrar informações de servidores Active Directory Federation Services (AD FS). O malware tem sido usado em ataques direcionados contra várias organizações globalmente, permanecendo despercebido por meses.
APT NOBELIUM
NOBELIUM é um jogador relativamente novo na arena de ameaças cibernéticas, com os primeiros indícios de atividade do APT rastreados no final de 2019. Desde então, o NOBELIUM ganhou a reputação de ser um coletivo de hackers altamente sofisticado, aproveitando um lote impressionante de amostras de malware personalizadas para realizar ataques históricos.
Segundo a Microsoft, o APT NOBELIUM está por trás do ataque à cadeia de suprimentos da SolarWinds and campanha de spear-phishing direcionada contra grandes agências governamentais e ONGs globalmente. Além disso, este grupo desenvolveu amostras de malware notórias como Sunburst, Sunspot, Teardrop, Goldmax, Sibot e GoldFinder.
Acredita-se que o NOBELIUM seja uma unidade ativa do infame grupo APT29 patrocinado pelo estado russo (Cozy Bear, The Dukes) que trabalha em nome do Serviço de Inteligência Estrangeira Russo (SVR).
O que é o FoggyWeb?
Semelhante a outras amostras do conjunto de ferramentas do NOBELIUM, o FoggyWeb é uma backdoor passiva altamente direcionada usada para obter nível de acesso administrativo nos servidores AD FS comprometidos. Ele é capaz de abusar do token Security Assertion Markup Language (SAML), geralmente aplicado para uma autenticação de usuário suave, para obter acesso persistente aos recursos do AD FS. Abusar do padrão SAML não é novidade para o APT NOBELIUM. Anteriormente, o grupo foi visto aproveitando o ataque Golden SAML para escalar um comprometimento relacionado ao hack da SolarWinds.
Uma vez que os adversários obtêm acesso inicial ao servidor AD FS, eles implantam o FoggyWeb para capturar o banco de dados de configuração, certificados de assinatura de token decriptados e certificados de decriptação de token. Esses dados altamente sensíveis permitem que hackers penetrem nas contas em nuvem dos funcionários dentro da infraestrutura organizacional.
Além da funcionalidade de exfiltração de dados, o FoggyWeb também pode executar código malicioso adicional recebido do servidor de comando e controle (C&C) dos atacantes, conforme os detalhes da análise pelo Centro de Inteligência de Ameaças da Microsoft (MSTIC). details.
Detecção da Backdoor FoggyWeb
Para detectar possíveis ataques contra sua infraestrutura e prevenir a infecção do FoggyWeb, você pode baixar uma regra Sigma da comunidade compartilhada pelo nosso prolífico colaborador Threat Bounty Nattatorn Chuensangarun.
Backdoor FoggyWeb visando Servidor AD FS
Esta regra monitora os servidores AD FS dentro da organização e detecta a presença de arquivos específicos associados à atividade maliciosa do NOBELIUM.
A detecção possui traduções para as seguintes plataformas de ANALÍTICA DE SEGURANÇA SIEM: Azure Sentinel, ELK Stack, Chronicle Security, Splunk, Sumo Logic, ArcSight, QRadar, Humio, Microsoft Defender ATP, FireEye, Carbon Black, LogPoint, Graylog, Regex Grep, Microsoft PowerShell, RSA NetWitness, Apache Kafka ksqlDB, Securonix.
A regra está mapeada para a metodologia MITRE ATT&CK abordando as táticas de Acesso Inicial e a técnica Exploração de Aplicações Públicas (t1190), bem como táticas de Acesso a Credenciais e a sub-técnica SAML Tokens (t1606.002) da técnica Forge Web Credentials (t1606).
Além disso, para detectar a presença da backdoor FoggyWeb na infraestrutura organizacional, você pode baixar uma regra Sigma comportamental desenvolvida por Florian Roth.
Carregamento de DLL da Backdoor FoggyWeb
Esta regra detecta a atividade de carregamento de imagem DLL conforme usado pelo carregador da backdoor FoggyWeb.
A detecção possui traduções para as seguintes plataformas de ANALÍTICA DE SEGURANÇA SIEM: Azure Sentinel, ELK Stack, Chronicle Security, Splunk, Sumo Logic, ArcSight, QRadar, Humio, Microsoft Defender ATP, FireEye, Carbon Black, LogPoint, Graylog, Regex Grep, Microsoft PowerShell, RSA NetWitness, Apache Kafka ksqlDB, Securonix, Qualys.
Em caso de presença confirmada do FoggyWeb nos ativos da sua empresa, você pode seguir um conjunto de etapas de mitigação fornecido pela Microsoft em suas melhores práticas recomendações.
Explore a plataforma SOC Prime para elevar sua experiência em cibersegurança ao próximo nível. Busque instantaneamente as ameaças mais recentes em mais de 20 tecnologias SIEM XDR suportadas, aumente a consciência sobre todos os ataques mais recentes no contexto de vulnerabilidades exploradas e a matriz MITRE ATT&CK, e otimize suas operações de segurança, enquanto recebe feedback anônimo da comunidade global de cibersegurança. Entusiasmado para criar seu próprio conteúdo de detecção e ganhar dinheiro por sua contribuição? Junte-se ao nosso Programa Threat Bounty!
