Microsoft alerte quant à un nouveau malware utilisé par Nobelium

Fanny Dufour
28 septembre 2021 à 10h45
3
malware virus © Pixabay

Lundi, Microsoft a alerté de l'existence d'un nouveau malware sur mesure utilisé par Nobelium, surnommé « FoggyWeb ».

Les hackers visent les serveurs Active Directory Federation Service (AD FS) sur lesquels ils installent une backdoor dans le but d'intercepter des requêtes HTTP.

Lire aussi :
Ransomware : l'éditeur Bitdefender met à disposition un outil de déchiffrement pour REvil

FoggyWeb, un malware créé sur mesure

Nobelium, le groupe de hackers désigné par la Maison-Blanche comme étant lié aux services secrets russes et connu pour son attaque sur SolarWinds, continue d'être suivi de près par Microsoft. Cette fois, le MSTIC (Microsoft Threat Intelligence Center) alarme sur un nouveau malware, créé sur mesure, et utilisé depuis au moins avril 2021 par Nobelium. L'entreprise l'a surnommé « FoggyWeb » et il servirait à mettre en place une backdoor sur des serveurs AD FS compromis afin d'exfiltrer des informations.

Le MSTIC note que Nobelium s'attaque depuis quelque temps aux serveurs AD FS afin d'obtenir des identifiants et un accès de niveau admin. Une fois le serveur compromis, FoggyWeb entre en jeu et met en place des écouteurs HTTP sur des URI définies par les hackers, qui copient la structure d'URI légitimes utilisées par la victime. Par la suite, il s'occupe de surveiller les requêtes GET et POST envoyées au serveur et intercepte celles qui correspondent aux patterns de ses URI.

Lire aussi :
Cachés et s'exécutant dans la mémoire du GPU, ces nouveaux malwares sont indétectables par les antivirus

Des informations sensibles interceptées

Grâce à son malware, Nobelium récupère la base de données de configuration des serveurs, les certificats de signature de jetons, censés empêcher des attaquants de modifier ou contrefaire des jetons de sécurité, ainsi que les certificats de déchiffrement de jetons. Microsoft note que FoggyWeb peut également recevoir des composants malveillants supplémentaires d'un serveur de commande et contrôle afin de les exécuter sur le serveur compromis.

Plusieurs entreprises ont déjà été touchées par ce malware et alertées par Microsoft. Pour les autres, la firme conseille de renforcer la sécurité de leurs serveurs AD FS et indique que FoggyWeb est désormais détecté par Windows Defender.

Sources : BleepingComputer, Microsoft

Fanny Dufour

Fanny Dufour

Arrivée dans la rédaction par le jeu vidéo, c’est par passion pour le développement web que je me suis intéressée plus largement à tout ce qui gravite autour de notre consommation des outils numérique...

Lire d'autres articles

Arrivée dans la rédaction par le jeu vidéo, c’est par passion pour le développement web que je me suis intéressée plus largement à tout ce qui gravite autour de notre consommation des outils numériques, des problématiques de vie privée au logiciel libre en passant par la sécurité. Fan inconditionnelle de science-fiction toujours prête à expliquer pendant des heures pourquoi Babylon 5 est ma série préférée.

Lire d'autres articles
Vous êtes un utilisateur de Google Actualités ou de WhatsApp ? Suivez-nous pour ne rien rater de l'actu tech !
google-news

A découvrir en vidéo

Rejoignez la communauté Clubic S'inscrire

Rejoignez la communauté des passionnés de nouvelles technologies. Venez partager votre passion et débattre de l’actualité avec nos membres qui s’entraident et partagent leur expertise quotidiennement.

S'inscrire

Commentaires (3)

cid1
Apparemment « FoggyWeb » ne s’attaque qu’aux adresses http, moi je n’utilise que les adresses https, suis-je à l’abri?
xeno
de ce que je comprend le probleme est sur le serveur, et les requetes vers et depuis le serveur sont capturé.<br /> Rien en ce qui concerne la navigation sur une station tant que le dial n’est pas vers le serveur
dFxed
On peut se douter que le malware fonctionne aussi en https vu la technicité du produit.<br /> Dans tous les cas, ce malware s’attaque au système de compte active directory, qui n’est très généralement pas utilisé par les particuliers, car il faut une version pro de Windows pour en bénéficier.
cid1
Merci de tes précisions dans la réponse.
Voir tous les messages sur le forum

Top meilleurs antivirus

Bitdefender
Bitdefender Voir l'offre
Norton 360
Norton 360 Voir l'offre
Avast One
Avast One Voir l'offre
  • Indépendance
  • Transparence
  • Expertise

L'équipe Clubic sélectionne et teste des centaines de produits qui répondent aux usages les plus courants, avec le meilleur rapport qualité / prix possible.

Haut de page

Sur le même sujet

Attention, ce spyware se fait passer pour Telegram et circule sur les réseaux Attention, ce spyware se fait passer pour Telegram et circule sur les réseaux
Nouveau coup dur pour Microsoft Exchange, après la découverte d'une extension qui vole des identifiants Nouveau coup dur pour Microsoft Exchange, après la découverte d'une extension qui vole des identifiants
Le malware Android BRATA devient plus puissant : il peut maintenant lire vos SMS ! Le malware Android BRATA devient plus puissant : il peut maintenant lire vos SMS !
TikTok : un grave problème de sécurité aurait été découvert sur l'application, voici ce que l'on sait TikTok : un grave problème de sécurité aurait été découvert sur l'application, voici ce que l'on sait
Update Agent, le malware qui infecte les Mac depuis plus d’un an Update Agent, le malware qui infecte les Mac depuis plus d’un an