Skip to main content

I cyber criminali Nobelium tornano grazie ad una backdoor

|

Il gruppo di cyber criminali Nobelium – gruppo sostenuto dalla Russia che ha violato SolarWinds – hanno individuato una nuova backdoor.

Sono i ricercatori Microsoft ad avvisare del nuovo malware ad accesso remoto chiamato FoggyWeb: il malware sarebbe utilizzato da aprile 2021 per mantenere la persistenza sui server Active Directory compromessi.

Secondo il ricercatore Microsoft Ramin Nafisi, la backdoor di FoggyWeb viene utilizzata come parte del processo per ottenere le credenziali utente che gli hacker di Nobelium utilizzano per spostarsi in una rete e accedere a informazioni più preziose.

Dopo aver compromesso un server Active Directory Federation Services (AD FS) tramite exploit di bug, FoggyWeb viene quindi installato per consentire agli hacker di persistere sul server. Da lì, le credenziali vengono raccolte a distanza.

La stessa backdoor è crittografata all’interno di un’applicazione di caricamento progettata per camuffarsi da una DLL Windows legittima. Una volta caricato, FoggyWeb opera con privilegi di amministratore.

SearchSecurity

Nobelium: l’analisi della FoggyWeb backdoor

FoggyWeb è una backdoor in grado di estrarre in remoto informazioni sensibili da un server ADFS compromesso. Può anche ricevere componenti dannosi aggiuntivi da un server di comando e controllo (C2) ed eseguirli sul server compromesso.

Dopo aver compromesso un server ADFS, è stato osservato che NOBELIUM ha rilasciato i seguenti due file sul sistema (sono necessari privilegi amministrativi per scrivere questi file nelle cartelle elencate di seguito):

%WinDir%\ADFS\version.dll
%WinDir%\SystemResources\Windows.Data.TimeZones\pris\Windows.Data.TimeZones.zh-PH.pri

Diagram showing structure of Microsoft.IdentityServer.ServiceHost.exe after loading version.dll
Microsoft – FoggyWeb: Targeted NOBELIUM malware leads to persistent backdoor

“Una volta che Nobelium ottiene le credenziali e compromette con successo un server, l’attore fa affidamento su tale accesso per mantenere la persistenza e approfondire la sua infiltrazione utilizzando malware e strumenti sofisticati”

Ramin Nafisiricercatore Microsoft

Contiuna a leggere il Report: FoggyWeb: Targeted NOBELIUM malware leads to persistent backdoor

Ritenuto operante con il sostegno del governo russo, Nobelium, noto anche come Cozy Bear e APT29, è responsabile dell’hacking di SolarWinds nel 2020 e di numerose successive violazioni della rete, grazie a una backdoor installata a Orion, l’IT di SolarWinds piattaforma di gestione.

Sebbene SolarWinds sia stato di gran lunga il più grande colpo di hacking, Nobelium ha operato per più di mezzo decennio ed è stato coinvolto in una serie di altri attacchi, in particolare la violazione del 2016 del Comitato nazionale democratico.

Leggi anche: L’Attacco Solar Winds desta l’allarme: in Italia si riunisce il nucleo di sicurezza cibernetica