FoggyWeb Malware

FoggyWeb Malware er en af de seneste truende tilføjelser til malware -arsenalet i APT -gruppen (Advanced Persistent Threat)NOBELIUM. Denne særlige gruppe har demonstreret, at den har adgang til ressourcer, der langt overgår, hvad andre cyberkriminalitetsgrupper har. Hackerne fra NOBELIUM anvender flere meget målrettede, specialfremstillede kraftfulde trusler og opdaterer deres værktøjskassekonstant. Sidste års forsyningskædeangreb mod SolarWinds tilskrives gruppen, mens den tidligere på året lancerede en e-mail-kampagne, hvor hackerne udgav sig som det amerikanske agentur for international udvikling (USAID).

Ifølge en rapport fra Microsoft, der fortsat sporer cyberkriminalitetsgruppens aktiviteter, har FoogyWeb -malware været i aktiv brug siden mindst april 2021. Malware -truslen er en passiv bagdør med flere funktioner. Det distribueres på kompromitterede Active Directory Federation Services (AD FS) -servere. NOBELIUMs mål er at eksfiltrere følsomme oplysninger fra de inficerede maskiner med FoggyWeb i stand til at indsamle konfigurationsdata for de overtrædede AD FS-servere, dekrypterede token-signeringscertifikater og token-dekrypteringscertifikater. Desuden kan bagdøren instrueres i at hente og udføre yderligere skadelige komponenter på systemet.

FoggyWeb kan angribe enhver AD FS -version, og den arver alle kontotilladelser, der kræves for at få adgang til serverens konfigurationsdatabase. Den har også programmatisk adgang til de legitime klasser, egenskaber, objekter, felter, komponenter og metoder, som den derefter misbruger for at udføre sine truende aktiviteter.