Hackers de SolarWinds utilizan nuevo backdoor posterior a "MagicWeb"

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Microsoft ha advertido que la nueva puerta trasera (backdoor) posterior al compromiso MagicWeb permite a los piratas informáticos "autenticarse como cualquiera".

El grupo ruso de ciberespionaje APT29, responsable de los devastadores ataques a la cadena de suministro de SolarWinds en 2020, vuelve a ser noticia. En un informe técnico publicado por Microsoft, los ciberespías APT29 han adquirido el bypass de autenticación de una nueva táctica posterior a la explotación. Microsoft rastreó previamente a los actores como Nobelium, Cozy Bear y los Dukes.

Detalles de los hallazgos

Microsoft escribió en su informe que los piratas informáticos apuntan a las redes corporativas con una nueva técnica de omisión de autenticación, que Microsoft ha denominado MagicWeb.

MagicWeb fue descubierto por MSTIC de Microsoft, Microsoft 365 Defender Research y Microsoft Detection and Response Team (DART) en los sistemas de un cliente. Esta capacidad altamente sofisticada permite a los piratas informáticos fortalecer su control de las redes objetivo incluso después de que los defensores intenten expulsarlas.

Vale la pena señalar que esta vez los piratas informáticos no confían en los ataques a la cadena de suministro. En cambio, están abusando de las credenciales de administrador para implementar MagicWeb. Es una puerta trasera que secretamente agrega capacidades de acceso mejoradas para que el atacante pueda realizar una variedad de exploits además de robar datos.

Por ejemplo, los atacantes pueden iniciar sesión en el Active Director del dispositivo como cualquier usuario. Muchas otras empresas de seguridad han identificado herramientas sofisticadas, incluidas puertas traseras, utilizadas por los piratas informáticos de SolarWinds, de las cuales MagicWeb es la última identificada y revisada por Microsoft.

¿Qué es MagicWeb? ¿Cómo se usa en los ataques?

Microsoft señaló que MagicWeb es un "DLL malicioso", que permite al atacante manipular los tokens generados por el servidor local AD FS (Servicios federados de Active Directory) y manipular los certificados de autenticación de usuario utilizados principalmente para la autenticación.

     "Este no es un ataque a la cadena de suministro. El atacante tenía acceso de administrador al sistema AD FS y reemplazó una DLL legítima con su propia DLL maliciosa, lo que provocó que AD FS cargara el malware en lugar del binario legítimo".- Microsoft.

Con respecto a cómo omite la autenticación, Microsoft escribió su informe que pasa un OID de uso de clave mejorado no estándar, que está codificado en MagicWeb durante una solicitud de autenticación enviada para un nombre principal de usuario específico.

Cuando se encuentra este OID, el malware MagicWeb habilita las solicitudes de autenticación para eludir los procesos estándar de AD FS, incluidas las comprobaciones de MFA, y valida las afirmaciones del usuario.

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

En sus ataques recientes, nobelium usó credenciales altamente privilegiadas para obtener acceso inicial y luego obtuvo privilegios administrativos para el sistema AD FS. El paso final es la implementación de MagicWeb.

Acerca de nobelium

La investigación realizada por expertos en seguridad cibernética en el Reino Unido y EE. UU. revela que los actores de amenazas de Nobelium están vinculados con la unidad de piratería del Servicio de Inteligencia Exterior de Rusia y han estado involucrados en numerosos ataques de cadena de suministro de alto perfil.

Aparecieron en los titulares después de comprometer el sistema de desarrollo de software de SolarWinds a fines de 2020, en el que comprometieron a 250 empresas y alrededor de 18,000 objetivos. Esto incluyó agencias estadounidenses y empresas del sector tecnológico.

Se cree que el mismo grupo está involucrado en el ataque cibernético contra el DNC (Comité Nacional Demócrata) en 2016. Microsoft afirma que el grupo es muy activo. La compañía encontró un malware de robo de información implementado por Nobelium en julio en una de las PC de los agentes de soporte de la compañía. Luego se usó para apuntar a otros dispositivos.

Fuente:
HackRead
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta