Microsoft alerte quant à un nouveau malware utilisé par Nobelium

Publié le 28 septembre 2021 à 10h45

Lundi, Microsoft a alerté de l'existence d'un nouveau malware sur mesure utilisé par Nobelium, surnommé « FoggyWeb ».

Les hackers visent les serveurs Active Directory Federation Service (AD FS) sur lesquels ils installent une backdoor dans le but d'intercepter des requêtes HTTP.

FoggyWeb, un malware créé sur mesure

Nobelium, le groupe de hackers désigné par la Maison-Blanche comme étant lié aux services secrets russes et connu pour son attaque sur SolarWinds, continue d'être suivi de près par Microsoft. Cette fois, le MSTIC (Microsoft Threat Intelligence Center) alarme sur un nouveau malware, créé sur mesure, et utilisé depuis au moins avril 2021 par Nobelium. L'entreprise l'a surnommé « FoggyWeb » et il servirait à mettre en place une backdoor sur des serveurs AD FS compromis afin d'exfiltrer des informations.

Le MSTIC note que Nobelium s'attaque depuis quelque temps aux serveurs AD FS afin d'obtenir des identifiants et un accès de niveau admin. Une fois le serveur compromis, FoggyWeb entre en jeu et met en place des écouteurs HTTP sur des URI définies par les hackers, qui copient la structure d'URI légitimes utilisées par la victime. Par la suite, il s'occupe de surveiller les requêtes GET et POST envoyées au serveur et intercepte celles qui correspondent aux patterns de ses URI.

Des informations sensibles interceptées

Grâce à son malware, Nobelium récupère la base de données de configuration des serveurs, les certificats de signature de jetons, censés empêcher des attaquants de modifier ou contrefaire des jetons de sécurité, ainsi que les certificats de déchiffrement de jetons. Microsoft note que FoggyWeb peut également recevoir des composants malveillants supplémentaires d'un serveur de commande et contrôle afin de les exécuter sur le serveur compromis.

Plusieurs entreprises ont déjà été touchées par ce malware et alertées par Microsoft. Pour les autres, la firme conseille de renforcer la sécurité de leurs serveurs AD FS et indique que FoggyWeb est désormais détecté par Windows Defender.

Sources : BleepingComputer, Microsoft

Par Fanny Dufour

Arrivée dans la rédaction par le jeu vidéo, c’est par passion pour le développement web que je me suis intéressée plus largement à tout ce qui gravite autour de notre consommation des outils numériques, des problématiques de vie privée au logiciel libre en passant par la sécurité. Fan inconditionnelle de science-fiction toujours prête à expliquer pendant des heures pourquoi Babylon 5 est ma série préférée.

Articles de Fanny Dufour

Piratage / Cybercriminalité

Malware / Ransomware

Microsoft

Actualités High-Tech

Vous êtes un utilisateur de Google Actualités ou de WhatsApp ?
Suivez-nous pour ne rien rater de l'actu tech !

Commentaires (0)

Rejoignez la communauté Clubic

Rejoignez la communauté des passionnés de nouvelles technologies. Venez partager votre passion et débattre de l’actualité avec nos membres qui s’entraident et partagent leur expertise quotidiennement.

Commentaires (4)

cid1

Apparemment « FoggyWeb » ne s’attaque qu’aux adresses http, moi je n’utilise que les adresses https, suis-je à l’abri?

xeno

de ce que je comprend le probleme est sur le serveur, et les requetes vers et depuis le serveur sont capturé.
Rien en ce qui concerne la navigation sur une station tant que le dial n’est pas vers le serveur

dFxed

On peut se douter que le malware fonctionne aussi en https vu la technicité du produit.
Dans tous les cas, ce malware s’attaque au système de compte active directory, qui n’est très généralement pas utilisé par les particuliers, car il faut une version pro de Windows pour en bénéficier.

cid1

Merci de tes précisions dans la réponse.