Un autre malware utilisé par les attaquants qui ont mené l’attaque de la chaîne d’approvisionnement logicielle SolarWinds en décembre a été identifié par Microsoft.
Les chercheurs ont découvert un certain nombre de modules utilisés par le groupe d’attaque, que Microsoft appelle Nobelium. Les États-Unis et le Royaume-Uni ont officiellement inculpé l’unité de piratage du service russe de renseignement étranger (SVR), également connue sous le nom d’APT29, Cozy Bear et The Dukes, de la responsabilité de l’attaque d’avril.
FoggyWeb peut créer une porte dérobée permanente pour les intrus
Ce malware appelé FoggyWeb crée une porte dérobée que les intrus utilisent après avoir accédé à un serveur ciblé.
Dans ce scénario, l’équipe utilise une gamme de mesures pour voler les noms d’utilisateur et les mots de passe du serveur Active Directory Federation Services (AD FS) afin d’obtenir un accès de niveau administrateur. En écrasant le master boot record, un attaquant peut rester à l’intérieur d’un réseau après un nettoyage. Depuis avril 2021, FoggyWeb est observé à l’état sauvage, selon Microsoft.
Microsoft avertit les utilisateurs du malware et donne quelques recommandations
Ramin Nafisi du Microsoft Threat Intelligence Center déclare : « Nobelium utilise FoggyWeb pour exfiltrer à distance la base de données de configuration des serveurs AD FS compromis, le certificat de signature de jeton déchiffré et le certificat de déchiffrement de jeton, ainsi que pour télécharger et exécuter des composants supplémentaires.
« FoggyWeb est une porte dérobée passive et hautement ciblée capable d’exfiltrer à distance des informations sensibles d’un serveur AD FS compromis. Il peut également recevoir des composants malveillants supplémentaires d’un serveur de commande et de contrôle (C2) et les exécuter sur le serveur compromis », ajoute-t-il.
Cette porte dérobée permet à un attaquant d’exploiter le jeton SAML (Security Assertion Markup Language), qui est utilisé pour faciliter la connexion des utilisateurs aux applications.
Microsoft conseille aux consommateurs potentiellement concernés de suivre ces trois actions clés : auditer l’infrastructure sur site et cloud pour les configurations, et les paramètres par utilisateur et par application ; supprimer l’accès des utilisateurs et des applications, examiner les configurations et réémettre de nouvelles informations d’identification fortes ; et utilisez un module de sécurité matériel pour empêcher FoggyWeb de voler des secrets aux serveurs AD FS.
