Microsoft reveló recientemente la existencia de un nuevo malware implementado por el grupo de piratería detrás del ataque a la cadena de suministro SolarWinds.
Con el nombre en código de FoggyWeb el malware consiste en ataques de puerta trasera pasivos y altamente dirigidos.
Foggyweb se convierte en la última amenaza de Nobelium en una larga lista de armas cibernéticas conocidas.
Entre otras, se encuentran: Sunburst, Sunspot, Raindrop, Teardrop, GoldMax, GoldFinder, Sibot, Flipflop, NativeZone, EnvyScout, BoomBox y VaporRage.
“Nobelium utiliza FoggyWeb para extraer de forma remota la base de datos de configuración de los servidores AD FS comprometidos, los token de certificado y descargar y ejecutar componentes adicionales”.
El grupo de piratas Nobelium
Nobelium es el apodo asignado por Microsoft al grupo de piratería ampliamente conocido como APT29, The Dukes o Cozy Bear.
Este grupo es una amenaza persistente que se ha atribuido al Servicio de Inteligencia Exterior de Rusia (SVR) y se cree que ha estado detrás del ataque de SolarWinds.
El adversario detrás de esta campaña también está siendo monitoreado bajo una variedad de nombres en clave como UNC2452 (FireEye), SolarStorm (Unidad 42), StellarParticle (CrowdStrike), Dark Halo (Volexity ) o Iron Ritual (Secureworks).
El funcionamiento de Foggyweb
FoggyWeb, instalado mediante un cargador se encarga de explotar una técnica llamada secuestro de orden de búsqueda de DLL, que es capaz de transmitir información confidencial desde un servidor AD FS.
Además, es capaz de recibir y ejecutar cargas útiles maliciosas adicionales recuperadas de un servidor remoto controlado por un atacante.
El malware, también está diseñado para monitorear todas las solicitudes HTTP GET y POST enviadas al servidor desde la intranet (o Internet) e interceptar las solicitudes HTTP de interés para el atacante.
Según los expertos de Microsoft, la protección de los servidores de AD FS es clave para mitigar los posibles ataques de Nobelium y los posibles malware que el grupo cree en el futuro.