FoggyWeb Malware

Il FoggyWeb Malware è una delle ultime minacciose aggiunte all'arsenale di malware del gruppo APT (Advanced Persistent Threat)NOBELIO. Questo particolare gruppo ha dimostrato di avere accesso a risorse che superano di gran lunga quelle di altri gruppi di criminalità informatica. Gli hacker di NOBELIUM impiega più potenti minacce altamente mirate e personalizzate e sta aggiornando il proprio toolkitcostantemente. L'attacco alla catena di approvvigionamento dello scorso anno contro SolarWinds è attribuito al gruppo, mentre all'inizio di quest'anno ha lanciato una campagna e-mail in cui gli hacker si sono spacciati per l'Agenzia statunitense per lo sviluppo internazionale (USAID).

Secondo un rapporto di Microsoft, che continua a tracciare le attività del gruppo di criminalità informatica, il malware FoogyWeb è in uso attivo almeno da aprile 2021. La minaccia malware è una backdoor passiva con molteplici funzionalità. Viene distribuito su server Active Directory Federation Services (AD FS) compromessi. L'obiettivo di NOBELIUM è estrarre informazioni sensibili dalle macchine infette con FoggyWeb in grado di raccogliere i dati di configurazione dei server AD FS violati, certificati di firma token decrittografati e certificati di decrittografia token. Inoltre, è possibile indicare alla backdoor di recuperare ed eseguire componenti dannosi aggiuntivi sul sistema.

FoggyWeb può attaccare qualsiasi versione di ADFS ed eredita tutte le autorizzazioni dell'account necessarie per accedere al database di configurazione del server. Ha anche accesso programmatico a classi, proprietà, oggetti, campi, componenti e metodi legittimi, di cui poi abusa per svolgere le sue attività minacciose.