Détection de MagicWeb : NOBELIUM APT utilise un contournement d’authentification sophistiqué

[post-views]
août 30, 2022 · 4 min de lecture
Détection de MagicWeb : NOBELIUM APT utilise un contournement d’authentification sophistiqué

Un groupe APT notoire suivi sous le nom de NOBELIUM (alias APT29, Cozy Bear et The Dukes) ajoute de nouvelles menaces à leur ensemble de ruses malveillantes. L’acteur de la menace, responsable du piratage médiatisé en 2020 de la société SolarWinds basée au Texas, reste un gang criminel très actif, affectant un large éventail d’industries et d’organisations dans les secteurs public, privé et non gouvernemental aux États-Unis, en Europe et en Asie centrale.

Dans la dernière campagne, les adversaires déploient le malware MagicWeb pour maintenir l’accès aux environnements infectés.

Détection de Malware MagicWeb

Pour vous assurer que votre système n’est pas une cible facile pour les hackers de NOBELIUM, téléchargez une règle Sigma publiée par notre développeur Threat Bounty perspicace Aytek Aytemur. La règle détecte le chargement suspect de .dll et les lignes de commande PowerShell que NOBELIUM utilise pour énumérer les DLL non-Microsoft dans le GAC :

Exécution suspecte de NOBELIUM par énumération des DLL non-Microsoft dans le GAC (via cmdline)

Cette détection a des traductions pour les plateformes SIEM, EDR & XDR suivantes : Microsoft Sentinel, Elastic Stack, Splunk, Humio, Sumo Logic, ArcSight, QRadar, FireEye, LogPoint, Graylog, Regex Grep, RSA NetWitness, Apache Kafka ksqlDB, AWS OpenSearch, Open Distro, et Snowflake.

La règle est alignée avec le cadre MITRE ATT&CK® v.10, abordant la tactique d’Exécution avec l’interpréteur de commandes et de scripts (T1059) comme technique principale.

Suivez les mises à jour du contenu de détection lié à NOBELIUM APT dans le dépôt Threat Detection Marketplace de la plateforme SOC Prime. Appuyez sur le bouton Détecter & Chasser ci-dessous et débloquez un accès illimité à la première plateforme mondiale pour la défense collaborative contre les cybermenaces, la chasse aux menaces et la découverte, qui s’intègre avec plus de 26 plateformes SIEM, EDR et XDR. Si vous êtes nouveau sur la plateforme SOC Prime – un fournisseur de premier plan de contenu de détection sous forme de code, parcourez une vaste collection de règles Sigma avec un contexte de menace pertinent, des références CTI et MITRE ATT&CK, des descriptions CVE, et obtenez des mises à jour sur les tendances de la chasse aux menaces. Aucune inscription n’est requise ! Appuyez sur le bouton Explorer le Contexte des Menaces pour en savoir plus.

Détecter & Chasser Explorer le Contexte des Menaces

Description de MagicWeb

Les APT NOBELIUM sont connus pour utiliser des outils sophistiqués tout au long de leurs attaques. Le backdoor MagicWeb est la dernière découverte dans leur arsenal, détaillée par les chercheurs en sécurité de Microsoft . Le malware post-exploitation permet aux attaquants de maintenir un accès persistant aux environnements compromis après avoir abusé des identifiants administrateurs pour accéder à un système AD FS, en substituant une DLL légitime par une DLL malveillante.

Le serveur Active Directory Federation (AD FS), qui fait référence aux serveurs AD sur site par opposition à Azure Active Directory dans le cloud, est le système d’identité d’entreprise ciblé par les attaques MagicWeb. Cette révélation des chercheurs de Microsoft souligne également l’importance d’isoler l’AD FS et de limiter l’accès à celui-ci.

L’enquête sur les incidents basés sur MagicWeb a révélé des similitudes frappantes avec le malware FoggyWeb qui faisait partie de l’arsenal des hackers NOBELIUM depuis le printemps 2021.

Dans l’avalanche de nouvelles menaces, il est vital de rester à jour avec les événements relatifs à l’industrie de la cybersécurité. Suivez le blog SOC Prime pour les dernières nouvelles en matière de sécurité et les mises à jour concernant les sorties de contenu de détection. Vous êtes à la recherche d’une plateforme fiable pour distribuer votre contenu de détection tout en promouvant la défense collaborative contre les cybermenaces ? Rejoignez le programme de crowdsourcing de SOC Prime pour partager vos règles Sigma et YARA avec la communauté, automatiser l’enquête sur les menaces et obtenir des commentaires et un examen de la part d’une communauté de plus de 28 000 professionnels de la sécurité pour renforcer vos opérations de sécurité.

 

Table des Matières

Cet article vous a-t-il été utile ?

Aimez-le et partagez-le avec vos collègues.
Rejoignez la plateforme Detection as Code de SOC Prime pour améliorer la visibilité des menaces les plus pertinentes pour votre entreprise. Pour vous aider à démarrer et générer une valeur immédiate, réservez dès maintenant une réunion avec les experts de SOC Prime.
Inscrivez-vous gratuitement Réserver une réunion

Articles connexes

Détection de l’attaque Secret Blizzard : un groupe APT soutenu par la russie cible les ambassades étrangères à Moscou avec le malware ApolloShadow
Blog, Dernières Menaces — 6 min de lecture
Détection de l’attaque Secret Blizzard : un groupe APT soutenu par la russie cible les ambassades étrangères à Moscou avec le malware ApolloShadow
Daryna Olyniychuk
Détection des attaques d’APT41 : Les hackers chinois exploitent Google Calendar et déploient le malware TOUGHPROGRESS ciblant les agences gouvernementales
Blog, Dernières Menaces — 6 min de lecture
Détection des attaques d’APT41 : Les hackers chinois exploitent Google Calendar et déploient le malware TOUGHPROGRESS ciblant les agences gouvernementales
Daryna Olyniychuk
Détecter les Attaques APT28 : l’unité russe GRU 26156 cible les entreprises occidentales de logistique et de technologie coordonnant l’aide à l’Ukraine dans une campagne de piratage de deux ans
Blog, Dernières Menaces — 9 min de lecture
Détecter les Attaques APT28 : l’unité russe GRU 26156 cible les entreprises occidentales de logistique et de technologie coordonnant l’aide à l’Ukraine dans une campagne de piratage de deux ans
Veronika Telychko