Une nouvelle porte dérobée attribuée aux pirates de l’affaire SolarWinds

Le tristement célèbre groupe d’attaquants responsable de l’affaire SolarWinds revient à la charge avec une nouvelle porte dérobée dans son arsenal. Les chercheurs du Microsoft Threat Intelligence Center pensent que l’équipe Nobelium utilise un maliciel d’accès à distance baptisé FoggyWeb pour maintenir leur persistance sur les serveurs Active Directory compromis. Cette porte dérobée a été observée dans la nature dès le mois d’avril.

Selon Ramin Nafisi, chercheur chez Microsoft, la porte dérobée FoggyWeb est utilisée dans le cadre du processus d’obtention des informations d’identification des utilisateurs que le groupe Nobelium utilise pour se déplacer dans un réseau et accéder à des informations plus précieuses. Après compromission d’un serveur AD FS (Active Directory Federation Services) par le biais de l’exploitation de vulnérabilités, FoggyWeb est implanté pour permettre aux pirates de persister sur le serveur. De là, les informations d’identification sont récoltées à distance.

La porte dérobée elle-même est chiffrée dans une application de chargement conçue pour se déguiser en DLL Windows légitime. Une fois chargé, FoggyWeb fonctionne avec des privilèges d’administrateur.

« Une fois que Nobelium a obtenu des informations d’identification et réussi à compromettre un serveur, l’acteur s’appuie sur cet accès pour maintenir sa persistance et approfondir son infiltration à l’aide de logiciels malveillants et d’outils sophistiqués », explique Ramin Nafisi dans le rapport.

« Nobelium utilise FoggyWeb pour exfiltrer à distance la base de données de configuration des serveurs AD FS compromis, le certificat de signature de jetons en clair, et le certificat de déchiffrement de jetons, ainsi que pour télécharger et exécuter des composants supplémentaires ».

Soupçonné d’opérer avec le soutien du gouvernement russe, Nobelium – également connu sous le nom de Cozy Bear et APT29 – est responsable du piratage de SolarWinds en 2020 et de nombreuses intrusions ultérieures, grâce à une porte dérobée implantée dans Orion, la plate-forme de gestion informatique de SolarWinds.

Bien que SolarWinds ait été de loin son plus grand hold-up, Nobelium opère depuis plus d’une demi-décennie et a été impliqué dans un certain nombre d’autres attaques, notamment la violation du Comité national démocratique en 2016.

FoggyWeb est un logiciel malveillant différent de Sunburst, la porte dérobée déployée dans les environnements des clients de SolarWinds, et de GoldMax, l’outil d’accès à distance que l’équipe Nobelium a utilisé pour s’introduire dans le réseau de SolarWinds. Ramin Nafisi indique que ses équipes « soupçonnent que Nobelium peut puiser dans d’importantes ressources opérationnelles souvent mises en avant dans ses campagnes, y compris des logiciels malveillants et des outils personnalisés ».

Ramin Nafisi a fourni des indicateurs de compromission pour FoggyWeb, des mesures d’atténuation pour les configurations de serveur AD FS, ainsi que des détections et des requêtes de recherche de compromission pour des produits de sécurité tels que Microsoft Defender for Endpoint, Microsoft 365 Defender et Azure Sentinel.