Pesquisadores da Microsoft identificam malware que cria backdoor ‘persistente’ para hackers

Pesquisadores de segurança da Microsoft descobriram vários módulos usados pelo grupo de ataque por trás da invasão contra a cadeia de suprimentos do software SolarWinds. O malware FoggyWeb, recém-descoberto pela Microsoft, é um backdoor usado pelos atacantes depois que um servidor alvo já foi comprometido, segundo informações do site ZDNet.

A Microsoft descobriu outro tipo de malware usado na invasão do SolarWinds. Os pesquisadores de segurança identificaram módulos usados pelo grupo de ataque, que a Microsoft chama de Nobelium.

“Como afirmamos antes, suspeitamos que o Nobelium pode tirar proveito de recursos operacionais significativos, muitas vezes exibidos em suas campanhas, incluindo malware e ferramentas personalizadas”, escreveu Ramin Nafisi, da Microsoft Threat Intelligence Center, em um comunicado postado no blog da empresa. Nobelium, segundo Nafisi, seria o ator por trás do backdoor Sunburst, malware Teardrop e componentes relacionados.

“Em março de 2021, traçamos o perfil do malware GoldMax, GoldFinder e Sibot do Nobelium que ele usa para persistência em camadas. Em seguida, fizemos outra postagem em maio, quando analisamos o conjunto de ferramentas em estágio inicial do ator, incluindo EnvyScout, BoomBox, NativeZone e VaporRage”, acrescentou Nafisi.

Em abril, os EUA e o Reino Unido culparam oficialmente o ataque à unidade de hackers do Serviço de Inteligência Estrangeiro Russo (SVR), também conhecido como APT29, Cozy Bear e The Dukes, de acordo com o ZDNet.

Agora, os pesquisadores analisaram de forma aprofundada um backdoor pós-exploração que os pesquisadores da Microsoft chamam de FoggyWeb.

Segundo Nafisi, o Nobelium emprega várias táticas para perseguir o roubo de credenciais com o objetivo de obter acesso de nível de administrador aos servidores Active Directory Federation Services (AD FS). Ao obter as credenciais e comprometer um servidor, o atacante conta com esse acesso para se manter e aprofundar sua infiltração usando malware e ferramentas sofisticadas.

“Nobelium usa FoggyWeb para exfiltrar remotamente o banco de dados de configuração de servidores AD FS comprometidos, certificado de assinatura de token descriptografado e certificado de descriptografia de token, bem como para baixar e executar componentes adicionais”, diz Nafisi.

O uso de FoggyWeb foi observado já em abril de 2021.

“FoggyWeb é um backdoor passivo e altamente direcionado, capaz de exfiltrar remotamente informações confidenciais de um servidor AD FS comprometido. Ele também pode receber componentes maliciosos adicionais de um servidor de comando e controle (C2) e executá-los no servidor comprometido”, segundo a postagem do blog.

O backdoor permite o abuso do token SAML (Security Assertion Markup Language), que é usado para ajudar os usuários a se autenticarem em aplicativos com mais facilidade.

A Microsoft notificou todos os clientes observados como sendo alvos ou comprometidos por esta atividade e recomendou as seguintes ações para as empresas que suspeitam ter sido comprometidas:

• Audite sua infraestrutura local e em nuvem, incluindo configuração, configurações por usuário e por aplicativo, regras de encaminhamento e outras alterações que o ator pode ter feito para manter seu acesso;
• Remova o acesso do usuário e do aplicativo, analise as configurações de cada um e emita novamente credenciais novas e fortes de acordo com as práticas recomendadas da indústria documentadas;
• Use um módulo de segurança de hardware (HSM) conforme descrito em proteger servidores AD FS para evitar a exfiltração de segredos pela FoggyWeb.

Com informações de ZDNet