FoggyWeb-malware

De FoggyWeb Malware is een van de nieuwste bedreigende toevoegingen aan het malware-arsenaal van de APT-groep (Advanced Persistent Threat)NOBELIUM. Deze specifieke groep heeft aangetoond toegang te hebben tot middelen die veel verder gaan dan die van andere cybercriminaliteitsgroepen. De hackers van NOBELIUM maakt gebruik van meerdere zeer gerichte, op maat gemaakte krachtige bedreigingen en werkt hun toolkit bijconstant. De supply chain-aanval van vorig jaar op SolarWinds wordt toegeschreven aan de groep, terwijl het eerder dit jaar een e-mailcampagne lanceerde waarbij de hackers zich voordeden als het Amerikaanse Agentschap voor Internationale Ontwikkeling (USAID).

Volgens een rapport van Microsoft, dat de activiteiten van de cybercriminaliteitsgroep blijft volgen, wordt de FoogyWeb-malware al sinds ten minste april 2021 actief gebruikt. De malwaredreiging is een passieve achterdeur met meerdere functionaliteiten. Het wordt geïmplementeerd op gecompromitteerde Active Directory Federation Services (AD FS)-servers. Het doel van NOBELIUM is om gevoelige informatie van de geïnfecteerde machines te exfiltreren, waarbij FoggyWeb in staat is om de configuratiegegevens van de gehackte AD FS-servers, gedecodeerde token-signing-certificaten en token-decoderingscertificaten te verzamelen. Bovendien kan de achterdeur de opdracht krijgen om aanvullende schadelijke componenten op het systeem op te halen en uit te voeren.

FoggyWeb kan elke AD FS-versie aanvallen en neemt alle accountrechten over die nodig zijn om toegang te krijgen tot de configuratiedatabase van de server. Het heeft ook programmatische toegang tot de legitieme klassen, eigenschappen, objecten, velden, componenten en methoden, die het vervolgens misbruikt om zijn bedreigende activiteiten uit te voeren.