Grupo que hackeou SolarWinds instala backdoor em servidores

Grupo de hackers Nobelium agora está comprometendo servidores single-sign-on para instalar uma backdoor que rouba dados e mantém a persistência na rede
Da Redação
29/09/2021
Compartilhar no linkedin
Compartilhar no email
Compartilhar no whatsapp
Compartilhar no facebook
Compartilhar no twitter
Compartilhar no pinterest

A Microsoft descobriu que os hackers por trás do ataque à SolarWinds voltaram a agir. Segundo a empresa, o grupo de ameaças persistentes avançadas (APT) Nobelium agora está comprometendo servidores single-sign-on para instalar uma backdoor que rouba dados e mantém a persistência na rede.

Pesquisadores do Microsoft Threat Intelligence Center (MSTIC) descobriram que os hackers despacharam novos malwares para roubar dados e manter a persistência nas redes das vítimas. Eles identificaram o grupo APT era o Nobelium ao detectar o uso de uma backdoor pós-exploração denominada FoggyWeb, criada para atacar servidores Active Directory Federation Services (AD FS). O AD FS permite o logon único (SSO) em aplicativos baseados em nuvem em um ambiente Microsoft, compartilhando identidade digital e direitos de titularidade.

Os ataques começaram em abril, escreveu Ramin Nafisi, da MSTIC, em um blog da empresa, publicado na segunda-feira, 27. O Nobelium, segundo ele, está empregando “várias táticas para roubar credenciais” e obter privilégios de administrador em servidores AD FS. 

Nafisi explica que, uma vez que um servidor é comprometido, o grupo implanta o FoggyWeb “para exfiltrar remotamente o banco de dados de configuração de servidores AD FS comprometidos, certificados de assinatura de tokens descriptografados e certificados de descriptografia de tokens”. “Além de exfiltrar remotamente dados confidenciais, o FoggyWeb também atinge persistência e se comunica com um servidor de comando e controle (C&C) para receber componentes maliciosos adicionais e executá-los”, acrescentou Nafisi.

Avaria da porta dos fundos

O pesquisador do MSTIC faz uma análise completa da backdoor do FoggyWeb, que opera permitindo a exploração do token SAML (Security Assertion Markup Language) no AD FS. O SAML é usado para ajudar os usuários a se autenticarem em aplicativos com mais facilidade.

“A backdoor configura auditores HTTP para URIs (identificadores uniforme de recurso) definidos pelo hacker que imitam a estrutura dos URIs legítimos usados ​​pela implantação do AD FS do destino”, escreveu Nafisi. “Os auditores personalizados monitoram todas as solicitações HTTP GET e POST de entrada enviadas ao servidor AD FS da intranet/internet e interceptam solicitações HTTP que correspondem aos padrões de URI personalizados definidos pelo hacker.”

Veja isso
Microsoft Teams e portal do Azure falharam autenticação durante 14h
Problema de MFA bloqueou acesso a recursos Microsoft

Os invasores armazenam o malware em um arquivo criptografado chamado Windows.Data.TimeZones.zh-PH.pri, enquanto o arquivo malicioso version.dll age como um carregador. O arquivo DLL aproveita as interfaces de hospedagem CLR e APIs para carregar o FoggyWeb, uma DLL gerenciada, no mesmo domínio de aplicativo dentro do qual o código gerenciado AD FS legítimo é executado.

Dessa forma, FoggyWeb obtém acesso à base de código e recursos do AD FS, incluindo o banco de dados de configuração do AD FS. O malware também herda as permissões da conta de serviço do AD FS que são necessárias para acessar o banco de dados de configuração do AD FS, escreveu Nafisi.

Mitigação de malware

A Microsoft notificou todos os clientes tidos como alvos ou comprometidos pelo FoggyWeb, e incluiu uma lista abrangente de indicadores de comprometimento na postagem. 

A empresa também recomendou várias ações de mitigação para organizações, incluindo auditoria de infraestrutura local e em nuvem para identificar quaisquer alterações que o hacker possa ter feito para manter o acesso; remover o acesso do usuário e do aplicativo, revisar as configurações de cada um e reemitir novas credenciais fortes; e usando um módulo de segurança de hardware para evitar a exfiltração de dados confidenciais.

A Microsoft ainda está aconselhando que todos os clientes revisem a configuração do servidor AD FS e implementem todas as alterações necessárias para proteger os sistemas contra ataques.

Os pesquisadores da Microsoft têm estado de olho no Nobelium desde que a empresa foi pega no ataque ao SolarWinds, descoberto pela primeira vez no ano passado. Eles estão rastreando a atividade e os recursos do grupo de ameaça, que se expandiram à medida que os atores construíram e implantaram um novo malware.

Desde o incidente da SolarWinds, os pesquisadores observaram o Nobelium continuamente construindo seu arsenal além da backdoor Sunburst/Solorigate e do malware Teardrop que inicialmente implantou naquele ataque, que afetou dezenas de milhares de organizações em todo o mundo. Com agências de notícias internacionais.

Compartilhar:

Compartilhar no linkedin
Compartilhar no email
Compartilhar no whatsapp
Compartilhar no facebook
Compartilhar no twitter
Compartilhar no pinterest