FoggyWeb malware dernier outil de dangereux Nobelium APT

Nobelium, le groupe de menaces persistantes avancées (APT) soutenu par la Russie qui a gagné en notoriété à la fin de 2020 après avoir compromis la chaîne d’approvisionnement de développement de logiciels de SolarWinds pour accéder à des cibles d’espionnage, continue d’utiliser de nouvelles techniques à la poursuite de nouvelles victimes.

C’est ce que révèle le Threat Intelligence Center (MSTIC) de Microsoft, qui a publié une nouvelle analyse des logiciels malveillants nouvellement découverts utilisés par le groupe, qu’il a baptisé FoggyWeb.

Le nouveau malware est une porte dérobée post-exploitation utilisée par Nobelium dans la poursuite de l’accès au niveau administrateur aux serveurs AD FS (Active Directory Federation Services), ce qui lui permet de maintenir la persistance dans les réseaux de ses victimes.

Décrit comme une « porte dérobée passive et hautement ciblée », FoggyWeb est utilisé pour exfiltrer à distance la base de données de configuration d’un serveur AD FS compromis, un certificat de signature de jeton déchiffré et un certificat de déchiffrement de jeton, ainsi que pour télécharger et exécuter d’autres composants, selon Ramin Nafisi de MSTIC, qui a enquêté sur le nouveau logiciel malveillant.

« L’utilisation de FoggyWeb a été observée dans la nature dès avril 2021 », a déclaré Nafisi dans un blog de divulgation. « Microsoft a informé tous les clients observés comme étant ciblés ou compromis par cette activité. »

Pour les défenseurs désireux d’évaluer s’ils ont été compromis ou non, Microsoft recommande un audit approfondi de l’infrastructure sur site et dans le cloud, en tenant compte des configurations, des paramètres par utilisateur et par application, des règles de transfert et de toute autre modification apportée par Nobelium ; la suppression de l’accès des utilisateurs et des applications en attendant un examen des configurations pour chacun et une réinitialisation des informations d’identification; et l’utilisation d’un module de sécurité matérielle – ce qui est une bonne pratique générale en matière de sécurité des serveurs AD FS dans tous les cas – pour empêcher FoggyWeb d’exfiltrer des données.

Microsoft a déclaré qu’il avait déjà mis en œuvre des détections et des protections pour se prémunir contre FoggyWeb, et plus de détails, y compris des indicateurs de compromission (IOC), des conseils d’atténuation, des détails de détection, etc., sont disponibles pour les utilisateurs d’Azure Sentinel et de Microsoft 365 Defender.

Jake Moore d’ESET a soutenu l’appel de Microsoft pour que les défenseurs soient sur le qui-vive. « Ce groupe notoire est extrêmement sophistiqué et considéré comme lié à l’une des plus grandes attaques de l’année », a-t-il déclaré. « Sur cette dernière découverte, une fois que le serveur a été compromis via les informations d’identification obtenues, l’accès peut être obtenu et maintenu avec une infiltration supplémentaire en utilisant des outils supplémentaires et des logiciels malveillants dans un style plutôt impressionnant. »

Outre les nouveaux logiciels malveillants, qu’il peut probablement développer et maintenir en partie grâce à ses liens avec l’État russe, Nobelium est également connu pour se rabattre sur des techniques plus courantes et facilement détectables, tirant souvent parti de pratiques de sécurité laxistes sur ses cibles pour les compromettre.

Cela a été démontré plus tôt en 2021 lorsque Microsoft a constaté qu’il avait été lui-même frappé dans une campagne de pulvérisation de mots de passe et d’attaques par force brute. Dans ce cas, Nobelium a eu accès au système d’un membre du personnel de support Microsoft et l’a utilisé pour accéder aux clients Microsoft en aval.

Cependant, bien que les APC soutenus par l’État soient dangereux et que le facteur James Bond signifie que les activités d’espionnage reçoivent beaucoup d’attention du grand public, elles peuvent ne pas présenter le risque le plus urgent pour l’organisation moyenne.

Dans un rapport récemment publié, les chercheurs de SecureWorks Counter Threat Unit (CTU) ont déclaré que des groupes tels que Nobelium – qu’il suit sous la désignation Iron Ritual – ont « des exigences de renseignement relativement statiques et à long terme qui se reflètent dans leur ciblage » et, en tant que tels, ont tendance à se concentrer étroitement sur l’accès à des données ou à des organisations spécifiques, ce qui les rend moins menaçants que les cybercriminels opportunistes ou les gangs de ransomwares.

SecureWorks a déclaré que le compromis SolarWinds était un bon exemple de cette tendance, car dans tous les cas où ses chercheurs ont identifié que les clients de SolarWinds avaient téléchargé la mise à jour de la plate-forme Orion compromise, Nobelium a largement annulé son propre accès à ces réseaux une fois qu’il avait atteint ses objectifs gouvernementaux prévus.