Microsoft alerte quant à un nouveau malware utilisé par Nobelium

28 septembre 2021 à 10h45
3
malware virus © Pixabay

Lundi, Microsoft a alerté de l'existence d'un nouveau malware sur mesure utilisé par Nobelium, surnommé « FoggyWeb ».

Les hackers visent les serveurs Active Directory Federation Service (AD FS) sur lesquels ils installent une backdoor dans le but d'intercepter des requêtes HTTP.

FoggyWeb, un malware créé sur mesure

Nobelium, le groupe de hackers désigné par la Maison-Blanche comme étant lié aux services secrets russes et connu pour son attaque sur SolarWinds, continue d'être suivi de près par Microsoft. Cette fois, le MSTIC (Microsoft Threat Intelligence Center) alarme sur un nouveau malware, créé sur mesure, et utilisé depuis au moins avril 2021 par Nobelium. L'entreprise l'a surnommé « FoggyWeb » et il servirait à mettre en place une backdoor sur des serveurs AD FS compromis afin d'exfiltrer des informations.

Le MSTIC note que Nobelium s'attaque depuis quelque temps aux serveurs AD FS afin d'obtenir des identifiants et un accès de niveau admin. Une fois le serveur compromis, FoggyWeb entre en jeu et met en place des écouteurs HTTP sur des URI définies par les hackers, qui copient la structure d'URI légitimes utilisées par la victime. Par la suite, il s'occupe de surveiller les requêtes GET et POST envoyées au serveur et intercepte celles qui correspondent aux patterns de ses URI.

Des informations sensibles interceptées

Grâce à son malware, Nobelium récupère la base de données de configuration des serveurs, les certificats de signature de jetons, censés empêcher des attaquants de modifier ou contrefaire des jetons de sécurité, ainsi que les certificats de déchiffrement de jetons. Microsoft note que FoggyWeb peut également recevoir des composants malveillants supplémentaires d'un serveur de commande et contrôle afin de les exécuter sur le serveur compromis.

Plusieurs entreprises ont déjà été touchées par ce malware et alertées par Microsoft. Pour les autres, la firme conseille de renforcer la sécurité de leurs serveurs AD FS et indique que FoggyWeb est désormais détecté par Windows Defender.

Soyez toujours courtois dans vos commentaires.
Respectez le réglement de la communauté.
3
4
cid1
Apparemment « FoggyWeb » ne s’attaque qu’aux adresses http, moi je n’utilise que les adresses https, suis-je à l’abri?
xeno
de ce que je comprend le probleme est sur le serveur, et les requetes vers et depuis le serveur sont capturé.<br /> Rien en ce qui concerne la navigation sur une station tant que le dial n’est pas vers le serveur
dFxed
On peut se douter que le malware fonctionne aussi en https vu la technicité du produit.<br /> Dans tous les cas, ce malware s’attaque au système de compte active directory, qui n’est très généralement pas utilisé par les particuliers, car il faut une version pro de Windows pour en bénéficier.
cid1
Merci de tes précisions dans la réponse.
Voir tous les messages sur le forum

Lectures liées

Un japonais utilise de l'IA pour
Microsoft a (encore) signé un pilote qui était en fait un logiciel malveillant
Campus Cyber, le vaisseau amiral de la cybersécurité française, ouvrira ses portes en février 2022
Cybersécurité : les entreprises délaissent le mot de passe et se tournent vers l'authentification biométrique
Guerre de l'information : le ministère des Armées se dote d'une
Google communique sur les attaques informatiques qui visent les youtubeurs depuis 2019
L'Argentine victime d'un piratage hors norme, les données de Lionel Messi dans le lot
La Chine et la Russie soupçonnées d'ingérences numériques, ces mesures qui vont permettre de surveiller la campagne présidentielle
Une vulnérabilité critique découverte dans un langage de programmation utilisé pour des mods de jeux vidéo
Haut de page