Microsoft a publié lundi un article de blog détaillant un logiciel malveillant utilisé par l’acteur de la menace derrière l’attaque SolarWinds pour exfiltrer les données des serveurs compromis.

Le groupe de menaces lié à la Russie qui a pénétré les systèmes du fournisseur de solutions de gestion informatique basé au Texas SolarWinds est suivi par Microsoft sous le nom de Nobelium. Le géant de la technologie a détaillé plusieurs logiciels malveillants utilisés par les pirates dans leurs attaques et a partagé lundi une analyse approfondie d’une porte dérobée qu’il a nommée FoggyWeb.

Microsoft affirme que FoggyWeb est utilisé dans des attaques depuis au moins avril 2021. La société a informé les clients dont les systèmes ont été ciblés ou compromis dans le cadre d’attaques impliquant ce logiciel malveillant.

FoggyWeb a été décrit par Microsoft comme une porte dérobée passive post-exploitation que les pirates utilisent pour exfiltrer à distance des informations sensibles à partir de serveurs Active Directory Federation Services (AD FS) compromis. La porte dérobée, selon la société, est persistante et très ciblée.

« Une fois que NOBELIUM obtient des informations d’identification et réussit à compromettre un serveur, l’acteur s’appuie sur cet accès pour maintenir la persistance et approfondir son infiltration à l’aide de logiciels malveillants et d’outils sophistiqués », a expliqué Microsoft. « NOBELIUM utilise FoggyWeb pour exfiltrer à distance la base de données de configuration des serveurs AD FS compromis, le certificat de signature de jetons déchiffré et le certificat de déchiffrement de jetons, ainsi que pour télécharger et exécuter des composants supplémentaires. »

En plus des détails techniques sur le malware et son déploiement, Microsoft a partagé des indicateurs de compromission (IOC) pour FoggyWeb, ainsi que des recommandations pour détecter et atténuer la menace.

Nobelium a continué à lancer des attaques même après que ses opérations aient été exposées à la suite de la découverte de la brèche de SolarWinds. En juin, Microsoft avait prévenu que les pirates avaient continué à mener des opérations visant l’informatique…