Les chercheurs en sécurité de Kaspersky ont annoncé la découverte d’une nouvelle porte dérobée probablement développée par le groupe de pirates Nobelium qui a mené l’attaque de la chaîne d’approvisionnement de SolarWinds l’année dernière.
Cette porte dérobée, appelée “FoggyWeb”, est une porte dérobée “passive et très ciblée” développée par le groupe et utilisée pour voler à distance des informations sensibles sur des serveurs ADFS compromis.
Kaspersky a découvert un nouveau logiciel malveillant appelé Tomiris, dont le premier échantillon a été utilisé dans le monde réel en février 2021.
Tomiris a été découvert lors d’une enquête sur une série d’attaques de détournement de DNS qui ont ciblé plusieurs zones gouvernementales dans les pays membres de la CEI entre décembre 2020 et janvier 2021. Ces attaques permettent aux attaquants de rediriger le trafic des serveurs de messagerie du gouvernement vers des machines sous leur contrôle.
Les victimes sont redirigées vers une page de connexion au webmail où l’attaquant vole leurs identifiants de messagerie et, dans certains cas, les force à installer une mise à jour logicielle malveillante qui télécharge la porte dérobée Tomiris, jusqu’alors inconnue. Dans ce cas, l’attaquant est en mesure d’obtenir des informations sur l’identité de la victime.
Kaspersky a déclaré qu’il s’agissait d’un problème de sécurité.
Ces détournements ont été relativement brefs et semblent avoir principalement ciblé les serveurs de messagerie des organisations touchées.
Nous ne savons pas comment les maîtres chanteurs ont accompli cela, mais il est probable qu’ils aient obtenu d’une manière ou d’une autre les informations d’identification du panneau de contrôle du registraire que les victimes utilisaient
.https://securelist.com/darkhalo-after-solarwinds-the-tomiris-connection/104311/
Tomiris, une fois déployé sur un système, interroge de manière répétée le serveur de commande et de contrôle pour obtenir davantage de charges utiles malveillantes à exécuter sur l’appareil compromis, ce qui permet à l’attaquant de prendre pied sur le réseau de la victime.
Une autre variante peut collecter et faire fuir des documents à partir du système compromis. Elle télécharge automatiquement les fichiers récents qui correspondent à l’extension d’intérêt, tels que .doc, .docx, .pdf et .rar.
Kaspersky a trouvé de nombreuses similitudes entre les deux backdoors (par exemple, elles ont toutes deux été développées en Go, persistance avec des tâches planifiées, même schéma d’encodage pour la communication C2, déclenchement automatique de la mise en veille pour réduire le bruit du réseau).
Nous avons également découvert la porte dérobée Kazuar, qui partage des caractéristiques avec le malware Sunburst utilisé pour attaquer SolarWinds sur le même réseau que Tomiris.
Ils n’ont toutefois pas exclu que la nouvelle porte dérobée ait été causée par des pirates soutenus par la Russie dans le pays de Nobel, et ont évoqué la possibilité d’une attaque sous faux drapeau pour tromper les chercheurs de logiciels malveillants.
Il est possible que d’autres APT aient eu connaissance de l’existence de cet outil, mais il est peu probable qu’ils aient essayé de le copier avant sa sortie
Les auteurs de Sunshuttle ont commencé à développer Tomiris vers décembre 2020, lorsque l’opération SolarWinds a été Une hypothèse plus probable (mais encore non confirmée) est que les auteurs de Sunshuttle ont commencé à développer Tomiris en remplacement de l’ensemble d’outils brûlés vers décembre 2020, lorsqu’il a été découvert.
Qu’est-ce que le Nobelium ?
Nobelium, le groupe de pirates qui a mené l’attaque de la chaîne d’approvisionnement de SolarWinds, responsable de la compromission de plusieurs agences fédérales américaines, est une unité de piratage du Service russe de renseignement extérieur (SVR), également suivi sous les noms d’APT29, The Dukes et Cozy Bear.
En avril 2021, le gouvernement américain a formellement accusé la division SVR de coordonner une “attaque de cyberespionnage généralisée” contre SolarWinds.
La société de cybersécurité Volexity a également lié la dernière attaque au même opérateur de groupe de piratage, en se basant sur les tactiques utilisées lors de précédents incidents remontant à 2018.
En mai, les chercheurs de Microsoft ont révélé quatre autres familles de logiciels malveillants utilisées par Nobelium dans d’autres attaques, notamment un téléchargeur de logiciels malveillants nommé ” BoomBox “, un téléchargeur et un lanceur de shellcode nommé ” VaporRage “, un ” EnvyScout “, une pièce jointe HTML malveillante nommée ” EnvyScout “, et un chargeur nommé ” NativeZone “.
En mars, nous avons détaillé trois types de logiciels malveillants Nobelium utilisés pour maintenir la persistance sur les réseaux compromis : une porte dérobée de commande et de contrôle nommée ” GoldMax “, un outil de traçage HTTP suivi sous le nom de ” GoldFinder “, et un outil de persistance et un dropper de logiciels malveillants nommés ” C’était un outil de persistance et un dropper de logiciels malveillants nommés ” Sibot “.
Comments