Зловреден софтуер FoggyWeb

Зловредният софтуер FoggyWeb е едно от последните заплашителни допълнения към арсенала на зловреден софтуер от групата APT (Advanced Persistent Threat)НОБЕЛИУМ. Тази конкретна група демонстрира, че има достъп до ресурси, които далеч надминават това, което имат другите групи за киберпрестъпления. Хакерите отNOBELIUM използват множество силно насочени, персонализирани мощни заплахи и актуализират инструментариума сипостоянно. Миналогодишната атака на веригата за доставки срещу SolarWinds се приписва на групата, докато по-рано тази година тя стартира кампания по имейл, където хакерите се представяха за Американската агенция за международно развитие (USAID).

Според доклад на Microsoft, който продължава да следи дейностите на групата за киберпрестъпления, зловредният софтуер FoogyWeb се използва активно поне от април 2021 г. Заплахата от злонамерен софтуер е пасивна задна врата с множество функционалности. Той се разгръща на компрометирани сървъри на Active Directory Federation Services (AD FS). Целта на NOBELIUM е да ексфилтрира чувствителна информация от заразените машини, като FoggyWeb може да събира конфигурационни данни на нарушените AD FS сървъри, декриптирани сертификати за подписване на маркери и сертификати за декриптиране на маркери. В допълнение, задната врата може да бъде инструктирана да извлича и изпълнява допълнителни вредни компоненти в системата.

FoggyWeb може да атакува всяка версия на AD FS и наследява всички разрешения на акаунта, необходими за достъп до конфигурационната база данни на сървъра. Той също така има програмен достъп до легитимните класове, свойства, обекти, полета, компоненти и методи, които след това злоупотребява, за да изпълнява заплашителните си дейности.