L’acteur de la menace \u00e0 l’origine de l’attaque de la cha\u00eene d’approvisionnement de SolarWinds a \u00e9t\u00e9 li\u00e9 \u00e0 un autre malware post-exploitation \u00ab hautement cibl\u00e9 \u00bb qui pourrait \u00eatre utilis\u00e9 pour maintenir un acc\u00e8s persistant aux environnements compromis.<\/p>\n
Doubl\u00e9 Magic Web<\/strong> par les \u00e9quipes de renseignement sur les menaces de Microsoft, le d\u00e9veloppement r\u00e9it\u00e8re l’engagement de Nobelium \u00e0 d\u00e9velopper et \u00e0 maintenir des capacit\u00e9s sp\u00e9cialement con\u00e7ues.<\/p>\n Nobelium est le surnom du g\u00e9ant de la technologie pour un groupe d’activit\u00e9s qui a \u00e9t\u00e9 r\u00e9v\u00e9l\u00e9 avec l’attaque sophistiqu\u00e9e ciblant SolarWinds en d\u00e9cembre 2020, et qui chevauche le groupe de piratage d’\u00c9tat-nation russe largement connu sous le nom d’APT29, Cozy Bear ou The Dukes.<\/p>\n “Nobelium reste tr\u00e8s actif, ex\u00e9cutant plusieurs campagnes en parall\u00e8le ciblant les organisations gouvernementales, les organisations non gouvernementales (ONG), les organisations intergouvernementales (OIG) et les groupes de r\u00e9flexion aux \u00c9tats-Unis, en Europe et en Asie centrale”, a d\u00e9clar\u00e9 Microsoft. a dit<\/a>.<\/p>\n MagicWeb, qui partage des similitudes avec un autre outil appel\u00e9 FoggyWeb, est \u00e9valu\u00e9 comme ayant \u00e9t\u00e9 d\u00e9ploy\u00e9 pour maintenir l’acc\u00e8s et pr\u00e9venir l’expulsion pendant les efforts de rem\u00e9diation, mais seulement apr\u00e8s avoir obtenu un acc\u00e8s hautement privil\u00e9gi\u00e9 \u00e0 un environnement et d\u00e9plac\u00e9 lat\u00e9ralement vers un serveur AD FS.<\/p>\n Alors que FoggyWeb est livr\u00e9 avec des capacit\u00e9s sp\u00e9cialis\u00e9es pour fournir des charges utiles suppl\u00e9mentaires et voler des informations sensibles des services de f\u00e9d\u00e9ration Active Directory (AD\u00a0FS<\/a>), MagicWeb est une DLL malveillante (une version d\u00e9rob\u00e9e de “Microsoft.IdentityServer.Diagnostics.dll”) qui facilite l’acc\u00e8s secret \u00e0 un syst\u00e8me AD FS via un contournement d’authentification.<\/p>\n “La capacit\u00e9 de Nobelium \u00e0 d\u00e9ployer MagicWeb d\u00e9pendait de l’acc\u00e8s \u00e0 des informations d’identification hautement privil\u00e9gi\u00e9es qui avaient un acc\u00e8s administratif aux serveurs AD FS, leur donnant la possibilit\u00e9 d’effectuer toutes les activit\u00e9s malveillantes qu’ils voulaient sur les syst\u00e8mes auxquels ils avaient acc\u00e8s”, a d\u00e9clar\u00e9 Microsoft.<\/p>\n Les conclusions font suite \u00e0 la divulgation d’une campagne men\u00e9e par l’APT29 visant les organisations affili\u00e9es \u00e0 l’OTAN dans le but d’acc\u00e9der \u00e0 des informations sur la politique \u00e9trang\u00e8re.<\/p>\n Plus pr\u00e9cis\u00e9ment, cela implique la d\u00e9sactivation d’une fonctionnalit\u00e9 de journalisation d’entreprise appel\u00e9e Audit de comp\u00e9tence<\/a> (anciennement Advanced Audit) pour collecter les e-mails des comptes Microsoft 365. “APT29 continue de d\u00e9montrer une s\u00e9curit\u00e9 op\u00e9rationnelle exceptionnelle et des tactiques d’\u00e9vasion”, Mandiant a dit<\/a>.<\/p>\n Une autre tactique plus r\u00e9cente utilis\u00e9e par l’acteur lors d’op\u00e9rations r\u00e9centes est l’utilisation d’une attaque de devinette de mot de passe pour obtenir les informations d’identification associ\u00e9es \u00e0 un compte inactif et l’inscrire pour une authentification multifacteur, lui accordant l’acc\u00e8s \u00e0 l’infrastructure VPN de l’organisation.<\/p>\n APT29 reste un groupe de menaces prolifique tout comme il est habile. Le mois dernier, l’unit\u00e9 42 de Palo Alto Networks a signal\u00e9 une campagne de phishing qui tire parti des services de stockage en nuage Dropbox et Google Drive pour le d\u00e9ploiement de logiciels malveillants et d’autres actions post-compromis.<\/p>\n <\/p>\n<\/div>\n![\"La](\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/08\/La-nouvelle-vulnerabilite-Amazon-Ring-aurait-pu-exposer-tous-vos.png\")
<\/a><\/div>\n![\"Les](\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/08\/1661460445_129_Microsoft-decouvre-un-nouveau-logiciel-malveillant-post-compromis-utilise-par-les.jpg\" "\\"Les")
<\/div>\n![\"La](\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/08\/Google-Cloud-bloque-une-attaque-DDoS-record-de-46-millions.png\")
<\/a><\/div>\n