Détection du Cheval de Troie FoggyWeb
Table des matières :
Microsoft a récemment découvert une autre pièce de logiciel malveillant utilisé par le célèbre groupe APT NOBELIUM depuis le printemps 2021. La nouvelle menace, surnommée FoggyWeb, agit comme une porte dérobée après exploitation capable d’exfiltrer des informations des serveurs Active Directory Federation Services (AD FS). Le logiciel malveillant a été utilisé dans des attaques ciblées contre plusieurs organisations à l’échelle mondiale tout en restant inaperçu pendant des mois.
NOBELIUM APT
NOBELIUM est un acteur relativement nouveau dans l’arène des cybermenaces, avec les premiers signaux d’activité de l’APT remontant à la fin de 2019. Depuis lors, NOBELIUM s’est fait une réputation de collectif de hackers hautement sophistiqué utilisant un impressionnant lot d’échantillons de logiciels malveillants sur mesure pour mener des attaques marquantes.
Selon Microsoft, NOBELIUM APT est derrière l’ attaque de la chaîne d’approvisionnement de SolarWinds and campagne ciblée de spear-phishing contre des agences gouvernementales majeures et des ONG à l’échelle mondiale. De plus, ce groupe a développé des échantillons de logiciels malveillants notoires tels que Sunburst, Sunspot, Teardrop, Goldmax, Sibot, et GoldFinder.
NOBELIUM est considéré comme une unité active du célèbre groupe APT29 parrainé par l’État russe (Cozy Bear, The Dukes) qui travaille au nom du Service de renseignement extérieur de la Russie (SVR).
Qu’est-ce que FoggyWeb ?
Semblable à d’autres échantillons de la boîte à outils NOBELIUM, FoggyWeb est une porte dérobée passive hautement ciblée appliquée pour obtenir un accès de niveau administrateur sur les serveurs AD FS compromis. Il est capable d’abuser du jeton Security Assertion Markup Language (SAML), habituellement utilisé pour une authentification utilisateur fluide, pour obtenir un accès persistant aux ressources AD FS. L’exploitation de la norme SAML n’est pas nouvelle pour NOBELIUM APT. Auparavant, le groupe a été aperçu en train d’utiliser l’ attaque Golden SAML méthode pour étendre une compromission liée au piratage de SolarWinds.
Une fois que les adversaires obtiennent un accès initial au serveur AD FS, ils déploient FoggyWeb pour récupérer la base de données de configuration, les certificats de signature de jetons déchiffrés et les certificats de déchiffrement de jetons. Ces données hautement sensibles permettent aux hackers de pénétrer les comptes cloud des employés au sein de l’infrastructure organisationnelle.
À part la fonctionnalité d’exfiltration de données, FoggyWeb peut également exécuter du code malveillant supplémentaire reçu du serveur de commande et de contrôle (C&C) des attaquants, les analyses par Microsoft Threat Intelligence Center (MSTIC) détaillent.
Détection de la porte dérobée FoggyWeb
Pour détecter d’éventuelles attaques contre votre infrastructure et prévenir l’infection par FoggyWeb, vous pouvez télécharger une règle Sigma communautaire partagée par notre contributeur prolificue de Threat Bounty Nattatorn Chuensangarun.
Porte dérobée FoggyWeb ciblant le serveur AD FS
Cette règle surveille les serveurs AD FS au sein de l’organisation et repère la présence de fichiers spécifiques associés à l’activité malveillante de NOBELIUM.
La détection a des traductions pour les plateformes SIEM de SÉCURITÉ ANALYTIQUE suivantes : Azure Sentinel, ELK Stack, Chronicle Security, Splunk, Sumo Logic, ArcSight, QRadar, Humio, Microsoft Defender ATP, FireEye, Carbon Black, LogPoint, Graylog, Regex Grep, Microsoft PowerShell, RSA NetWitness, Apache Kafka ksqlDB, Securonix.
La règle est mappée à la méthodologie MITRE ATT&CK abordant les tactiques d’accès initial et la technique d’exploitation des applications exposées publiquement (t1190) ainsi que les tactiques d’accès aux informations d’identification et la sous-technique des jetons SAML (t1606.002) de la technique Forger des informations d’identification Web (t1606).
Aussi, pour repérer la présence de la porte dérobée FoggyWeb sur l’infrastructure organisationnelle, vous pouvez télécharger une règle communautaire basée sur le comportement Sigma développée par Florian Roth.
Chargement DLL de la porte dérobée FoggyWeb
Cette règle détecte l’activité de chargement d’image DLL telle qu’utilisée par le chargeur de la porte dérobée FoggyWeb.
La détection a des traductions pour les plateformes SIEM de SÉCURITÉ ANALYTIQUE suivantes : Azure Sentinel, ELK Stack, Chronicle Security, Splunk, Sumo Logic, ArcSight, QRadar, Humio, Microsoft Defender ATP, FireEye, Carbon Black, LogPoint, Graylog, Regex Grep, Microsoft PowerShell, RSA NetWitness, Apache Kafka ksqlDB, Securonix, Qualys.
En cas de détection de la présence de FoggyWeb au sein des actifs de votre entreprise, vous pouvez suivre un ensemble de mesures d’atténuation fournies par Microsoft dans ses meilleures pratiques avis.
Explorez la plateforme SOC Prime pour porter votre expérience en cybersécurité au niveau supérieur. Chassez instantanément les menaces les plus récentes dans plus de 20 technologies SIEM XDR supportées, renforcez la conscience de toutes les dernières attaques dans le contexte des vulnérabilités exploitées et de la matrice MITRE ATT&CK, et rationalisez vos opérations de sécurité, tout en recevant des commentaires anonymisés de la communauté mondiale de cybersécurité. Envie de créer votre propre contenu de détection et de gagner de l’argent pour votre contribution ? Rejoignez notre programme Threat Bounty !
