Il y a une nouvelle porte dérobée dans la nature attribuée à l'acteur de la menace NOBELIUM, soupçonné d'être derrière la porte dérobée SUNBURST, Logiciel malveillant TEARDROP, et “composants associés”.
Selon Microsoft Threat Intelligence Center (MSTIC), le soi-disant FoggyWeb est une porte dérobée post-exploitation. L'acteur de la menace NOBELIUM utilise plusieurs techniques pour effectuer le vol d'informations d'identification. Son objectif actuel est d'obtenir un accès de niveau administrateur aux services de fédération Active Directory (AD FS) serveurs, a indiqué la compagnie.
Porte dérobée FoggyWeb: vue d'ensemble
Une fois l'accès obtenu à un serveur compromis, le but de l'acteur de la menace est de maintenir la persistance et d'approfondir son infiltration via des logiciels malveillants sophistiqués. Web brumeux, être un outil de post-exploitation, sert cet objectif. Il exfiltre à distance la base de données de configuration des serveurs AD FS compromis, ainsi que des certificats de signature et de déchiffrement de jetons déchiffrés.
Le malware télécharge et exécute également des composants supplémentaires, selon les attaquants’ besoins spécifiques. FoggyWeb est utilisé dans des campagnes actives depuis avril 2021, Microsoft a déclaré d'une manière très rédaction technique détaillée.
La porte dérobée est également décrite comme “passif” et “très ciblé,” avec des capacités d'exfiltration de données sophistiquées. “Il peut également recevoir des composants malveillants supplémentaires d'un système de commande et de contrôle (C2) serveur et les exécuter sur le serveur compromis,” les chercheurs ont ajouté. Il convient également de noter que le malware fonctionne en permettant l'abus du Security Assertion Markup Language (SAML) jeton dans AD FS.
« La porte dérobée configure les écouteurs HTTP pour les URI définis par l'acteur qui imitent la structure des URI légitimes utilisés par le déploiement AD FS de la cible. Les écouteurs personnalisés surveillent passivement toutes les requêtes HTTP GET et POST entrantes envoyées au serveur AD FS depuis l'intranet/Internet et interceptent les requêtes HTTP qui correspondent aux modèles d'URI personnalisés définis par l'acteur,” Microsoft a déclaré.
FoggyWeb est stocké dans un fichier crypté appelé Windows.Data.TimeZones.zh-PH.pri, tandis que le fichier malveillant version.dll agit comme un chargeur. Le fichier DLL utilise les interfaces d'hébergement CLR et les API pour charger FoggyWeb, une DLL gérée. Cela se produit dans le même domaine d'application où le code géré AD FS légitime est exécuté.
Merci à cette astuce, le malware obtient l'accès à la base de code et aux ressources AD FS, la base de données de configuration AD FS incluse. En outre, la porte dérobée acquiert les autorisations de compte de service AD FS nécessaires pour accéder à la base de données de configuration AD FS.
Étant donné que FoggyWeb est chargé dans le même domaine d'application que le code managé AD FS, il obtient un accès par programme aux classes AD FS légitimes, méthodes, Propriétés, des champs, objets et composants qui sont ensuite exploités par FoggyWeb pour faciliter ses opérations malveillantes, le rapport note.
Étant donné que FoggyWeb est indépendant de la version d'AD FS, il n'a pas besoin de garder une trace des noms et schémas de table de configuration hérités et modernes, noms de canaux nommés et autres propriétés dépendantes de la version d'AD FS.
“La protection des serveurs AD FS est essentielle pour atténuer les attaques NOBELIUM. Détection et blocage des malwares, activité de l'attaquant, et d'autres artefacts malveillants sur les serveurs AD FS peuvent briser des étapes critiques dans les chaînes d'attaque NOBELIUM connues,” Microsoft a conclu.
L'année dernière, le cheval de Troie Sunburst a été arrêté par un kill switch
En décembre 2020, le dangereux Le cheval de Troie Sunburst a été arrêté par un kill switch conjoint conçu par une équipe de spécialistes de Microsoft, Allez papa, et FireEye.
De nombreuses informations sont devenues disponibles sur le cheval de Troie Sunburst après qu'il a été utilisé dans une attaque d'intrusion contre Vents solaires. L'incident de sécurité contre l'entreprise a été signalé via sa propre application appelée Orion.
Suite à la découverte du malware et compte tenu de la gravité de la situation, une équipe conjointe d'experts a conçu un kill switch pour empêcher le malware de se propager davantage. Les experts ont détecté qu'un seul domaine contrôlé par des pirates exploitait le principal service de commande et de contrôle.
Le kill switch a fonctionné en désactivant les nouvelles infections et en bloquant l'exécution des précédentes en arrêtant l'activité sur le domaine.
Milena Dimitrova
Un écrivain et gestionnaire de contenu inspiré qui travaille avec SensorsTechForum depuis le début du projet. Un professionnel avec 10+ années d'expérience dans la création de contenu engageant. Axé sur la vie privée des utilisateurs et le développement des logiciels malveillants, elle croit fermement dans un monde où la cybersécurité joue un rôle central. Si le bon sens n'a pas de sens, elle sera là pour prendre des notes. Ces notes peuvent se tourner plus tard dans les articles! Suivre Milena @Milenyim
Suivez-moi: