Microsoft ha rivelato che Nobelium, il gruppo state-sponsored che lo scorso dicembre ha sferraro l’attacco alla supply chain SolarWinds, ha sviluppato un nuovo custom malware, chiamato FoggyWeb. È in grado distribuire payload aggiuntivi e trafugare informazioni sensibili dai server Active Directory Federation Services (AD FS) compromessi.
Indice degli argomenti
FoggyWeb: il nuovo malware del gruppo Nobelium
Pierluigi Paganini, Cyber Security Analyst e Ceo CYBHORUS, spiega l’importanza della scoperta fatta dai ricercatori Microsoft: “FoggyWeb è un nuovo malware attribuito al gruppo nation-state Nobelium operante per conto del governo russo, lo stesso responsabile dell’attacco contro SolarWinds. Il ritrovamento dimostra quanto siano attivi gruppi operanti per conto di governi stranieri intenti in attività di spionaggio internazionale“.
Continua Paganini: “Questi gruppi sono in grado di rinnovare costantemente il proprio arsenale sviluppando nuovi impianti utili da impiegare nelle diverse operazioni con l’intento di non essere individuati mentre esfiltrano grandi moli di dati sensibili dalle vittime”.
Paganini illustra l’attività del gruppo russo nel dettaglio: “Nello specifico, Nobelium appare estremamente attivo e nel corso dei mesi gli esperti di diverse aziende di sicurezza hanno individuato molteplici codici malevoli e backdoor utilizzate dal gruppo, tra essi nomi noti alla comunità di sicurezza internazionali come le backdoor SunBurst e GoldFinder e i malware TearDrop, GoldMax e Sibot. Lecito attendersi il ritrovamento di ulteriori impianti nei prossimi mesi con l’intensificarsi delle operazioni del gruppo”.
Chi è Nobelium, già protagonista dell’attacco a SolarWinds
Microsoft Threat Intelligence Center (MSTIC) ha rinominato FoggyWeb questo custom malware in grado di impiantare una “backdoor passiva e altamente mirata”. Il nuovo tool malevolo di Nobelium è l’ultima minaccia in una lunga lista fra cui spiccano Sunburst, Sunspot, Raindrop, Teardrop, GoldMax, GoldFinder, Sibot, Flipflop, NativeZone, EnvyScout, BoomBox e VaporRage.
Microsoft aveva già osservato FoggyWeb la prima volta lo scorso aprile e lo ha descritto come un “codice malevole DLL che risiede nella memoria dei sistemi compromessi”.
L’attacco alla supply chain di SolarWinds compromise diverse agenzie federali USA. Nobelium è la divisione di hacking della Russian Foreign Intelligence Service (SVR), comunemente nota come APT29, The Dukes o Cozy Bear. Lo scorso aprile il governo statunitense ha accusato la divisione SVR di condurre “campagne di cyber spionaggio ad alto spettro”.
Come funziona FoggyWeb
“Una volta che Nobelium ottiene le credenziali e compromette un server con successo, l’attaccante si affida a quell’accesso per mantenersi persistente e per approfondire l’infiltrazione usando malware e tool sofisticati”, si legge in una nota di Microsoft.
“Nobelium utilizza FoggyWeb per esfiltrare un database di gestione della configurazione di server AD FS compromessi, certificati token-signing decifrati e certificati di sicurezza, oltre a scaricare ed eseguire componenti aggiuntive”, continua la nota.
Gli attaccanti usano la DLL version.dll per caricare FoggyWeb che è archiviato nel file cifrato Windows.Data.TimeZones.zh-PH.pri.
Consigli per interrompere le catene di attacco
FoggyWeb, installato usando un loader attraverso una tecnica di exploiting definita DLL search order hijacking, è in grado di transmettere dati sensibili da un server AD FS compromesso, oltre a ricevere ed eseguire payload malevoli aggiuntivi recuperati da un server remoto controllato dagli attaccanti.
Inoltre è ingegnerizzato per monitorare tutti gli HTTP GET in arrivo e le richieste POST inviate al server da intranet (o internet) e intercettare le richieste HTTP d’interesse per il gruppo attaccante.
Proteggere correttamente e adeguatamente i server AD FS è cruciale per mitigare gli attacchi di Nobelium.
Rilevare e bloccare il malware, l’attività di attacco e gli altri codici malevoli sui server AD FS può aiutare a interrompere le catene di attacco di Nobelium. Dunque, conviene rivedere le configurazioni degli AD FS Server e implementare modifiche per rendere sicuri questi sistemi dagli attacchi, facendo riferimento alle best practice pubblicate dalla stessa Microsoft sul proprio sito di supporto.
