Los investigadores de seguridad de Kaspersky han anunciado el descubrimiento de una nueva puerta trasera que probablemente fue desarrollada por el grupo de hackers Nobelium que llevó a cabo el ataque a la cadena de suministro de SolarWinds el año pasado.
Este backdoor, llamado “FoggyWeb”, es un backdoor “pasivo y altamente selectivo” desarrollado por el grupo y utilizado para robar remotamente información sensible de los servidores ADFS comprometidos.
Kaspersky descubrió un nuevo malware llamado Tomiris, cuya primera muestra fue utilizada en el mundo real en febrero de 2021.
Tomiris se descubrió mientras se investigaba una serie de ataques de secuestro de DNS que tenían como objetivo varias zonas gubernamentales de los países miembros de la CEI entre diciembre de 2020 y enero de 2021. Los ataques permiten a los atacantes redirigir el tráfico de los servidores de correo del gobierno a máquinas bajo su control.
Las víctimas son redirigidas a una página de inicio de sesión de correo web en la que el atacante roba sus credenciales de correo electrónico y, en algunos casos, les obliga a instalar una actualización de software malicioso que descarga el backdoor Tomiris, hasta ahora desconocido.
Kaspersky dijo
Estos secuestros fueron relativamente breves y parecen haber tenido como objetivo principal los servidores de correo de las organizaciones afectadas.
No sabemos cómo los chantajistas lograron esto, pero es probable que de alguna manera obtuvieran las credenciales del panel de control del registrador que las víctimas estaban utilizando
Tomiris, una vez desplegado en un sistema, consulta repetidamente al servidor de comando y control para obtener más cargas útiles maliciosas que ejecutar en el dispositivo comprometido, lo que permite al atacante afianzarse en la red de la víctima.
Otra variante puede recopilar y filtrar documentos del sistema comprometido. Sube automáticamente los archivos recientes que coinciden con la extensión de interés, como .doc, .docx, .pdf y .rar.
Kaspersky encontró muchas similitudes entre las dos puertas traseras (por ejemplo, ambas fueron desarrolladas en Go, persistencia con tareas programadas, mismo esquema de codificación para la comunicación C2, activación automática del sueño para reducir el ruido de la red).
También descubrimos el backdoor Kazuar, que comparte características con el malware Sunburst utilizado para atacar a SolarWinds en la misma red que Tomiris.
No obstante, no descartaron que la nueva puerta trasera haya sido causada por hackers respaldados por Rusia en el país nobel, y apuntaron a la posibilidad de un ataque de falsa bandera para engañar a los investigadores de malware.
Es posible que otras APTs conocieran la existencia de esta herramienta, pero es poco probable que intentaran copiarla antes de que fuera liberada
Los autores de Sunshuttle comenzaron a desarrollar Tomiris alrededor de diciembre de 2020, cuando la operación de SolarWinds fue Una hipótesis más probable (pero aún no confirmada) es que los autores de Sunshuttle comenzaron a desarrollar Tomiris como reemplazo del conjunto de herramientas quemadas alrededor de diciembre de 2020, cuando fue descubierto.
¿Qué es el Nobelium?
Nobelium, el grupo de hackers que llevó a cabo el ataque a la cadena de suministro de SolarWinds, responsable del compromiso de múltiples agencias federales de Estados Unidos, es una unidad de hacking del Servicio de Inteligencia Exterior de Rusia (SVR), también rastreada como APT29, The Dukes y Cozy Bear.
En abril de 2021, el gobierno estadounidense acusó formalmente a la división SVR de coordinar un “ataque de ciberespionaje generalizado” contra SolarWinds.
La empresa de ciberseguridad Volexity también ha vinculado el último ataque al mismo operador del grupo de hackers, basándose en las tácticas utilizadas en incidentes anteriores que se remontan a 2018.
En mayo, los investigadores de Microsoft revelaron otras cuatro familias de malware utilizadas por Nobelium en otros ataques, incluyendo un descargador de malware llamado “BoomBox”, un descargador y lanzador de shellcode llamado “VaporRage”, un ” EnvyScout”, un adjunto HTML malicioso llamado “EnvyScout” y un cargador llamado “NativeZone”.
En marzo, detallamos tres tipos de malware Nobelium utilizados para mantener la persistencia en las redes comprometidas: un backdoor de comando y control llamado “GoldMax”, una herramienta de rastreo HTTP rastreada como “GoldFinder”, y una herramienta de persistencia y un dropper de malware llamado ” Fue una herramienta de persistencia y dropper de malware llamado “Sibot”.
Comments