Microsoft a récemment découvert un autre type de malware, nommé FoggyWeb par Microsoft, qui les pirates utilisent actuellement pour voler à distance les informations d'identification de l'administrateur réseau. Les informations d'identification permettent au groupe d'attaquants, que la société a appelé Nobelium, de pirater l'administrateur. comptes des serveurs des services de fédération Active Directory (AD FS) et contrôler l’accès des utilisateurs à divers ressources.
Microsoft affirme qu'il s'agit du même groupe à l'origine de l'attaque de la chaîne d'approvisionnement du logiciel SolarWinds révélée en décembre.
Le malware agit comme une porte dérobée pour les pirates et facilite leur vol à distance de jetons et de certificats depuis la plateforme d’identité de Microsoft.
En rapport
- Microsoft vient de vous proposer une nouvelle façon de vous protéger des virus
- Attention, ces applications Windows gratuites cachent un dangereux secret
- Le hacker Microsoft LAPSUS$ vient de faire une nouvelle victime
Le malware nouvellement découvert est utilisé par les attaquants une fois que le serveur qu’ils ciblent a déjà été compromis en termes de sécurité. Le groupe de hackers utilise plusieurs tactiques pour accéder à l’identité des utilisateurs et à l’infrastructure nécessaire pour prendre le contrôle de l’utilisation de leurs applications.
Vidéos recommandées
Ramin Nafisi du Microsoft Threat Intelligence Center déclare: « Nobelium utilise FoggyWeb pour exfiltrer à distance la base de données de configuration de serveurs AD FS compromis, certificat de signature de jeton déchiffré et certificat de déchiffrement de jeton, ainsi que pour télécharger et exécuter des Composants".
« FoggyWeb est une porte dérobée passive et hautement ciblée, capable d'exfiltrer à distance des informations sensibles d'un serveur AD FS compromis. Il peut également recevoir des composants malveillants supplémentaires d'un serveur de commande et de contrôle (C2) et les exécuter sur le serveur compromis », ajoute Microsoft.
La porte dérobée que Nobelium parvient à franchir permet au pirate informatique d'accéder au jeton SAML (Security Assertion Markup Language). Ce jeton sert à aider les utilisateurs à authentifier les applications. Le piratage du jeton permet aux attaquants de rester à l'intérieur du réseau même après des nettoyages réguliers. En fait, selon Microsoft, FoggyWeb est utilisé depuis avril 2021.
Microsoft a découvert un certain nombre de modules utilisés par Nobelium. Ceux-ci incluent les composants GoldMax, GoldFinder et Sibot. Ceux-ci ont été créés avec l’aide d’autres logiciels malveillants que le même groupe a été reconnu coupable d’avoir utilisé. Ceux-ci incluent Sunburst, Solarigate, Teardrop et Sunspot.
Pour les personnes victimes de l'attaque, Microsoft recommande d'auditer l'infrastructure sur site et cloud pour les configurations et les paramètres par utilisateur et par application; supprimer l'accès des utilisateurs et des applications, revoir les configurations et réémettre de nouvelles informations d'identification solides; et en utilisant un module de sécurité matériel pour empêcher FoggyWeb de voler des secrets sur les serveurs AD FS.
Recommandations des rédacteurs
- Des pirates chinois ciblent les infrastructures critiques américaines, prévient Microsoft
- Microsoft explique comment des milliers de GPU Nvidia ont construit ChatGPT
- Microsoft révèle une nouvelle arme secrète contre la cybercriminalité
- Microsoft a stoppé la plus grande attaque DDoS jamais signalée
- Microsoft explique en détail comment fonctionnera la Xbox Series X Smart Delivery
Améliorez votre style de vieDigital Trends aide les lecteurs à garder un œil sur le monde en évolution rapide de la technologie avec toutes les dernières nouvelles, des critiques de produits amusantes, des éditoriaux perspicaces et des aperçus uniques.
