FoggyWeb Malware

FoggyWeb Malware to jeden z najnowszych groźnych dodatków do arsenału złośliwego oprogramowania grupy APT (Advanced Persistent Threat)NOBELIUM. Ta konkretna grupa wykazała, że ma dostęp do zasobów, które znacznie przewyższają inne grupy cyberprzestępcze. Hakerzy z NOBELIUM wykorzystuje wiele wysoce ukierunkowanych, niestandardowych, potężnych zagrożeń i aktualizuje swój zestaw narzędzistale. Zeszłoroczny atak łańcucha dostaw na SolarWinds jest przypisywany grupie, podczas gdy na początku tego roku uruchomiła ona kampanię e-mailową, w której hakerzy podszywali się pod amerykańską Agencję Rozwoju Międzynarodowego (USAID).

Według raportu firmy Microsoft, która nadal śledzi działania grupy cyberprzestępczej, szkodliwe oprogramowanie FoogyWeb jest aktywnie używane od co najmniej kwietnia 2021 roku. Jest wdrażany na zhakowanych serwerach Active Directory Federation Services (AD FS). Celem NOBELIUM jest wyprowadzanie poufnych informacji z zainfekowanych maszyn, dzięki czemu FoggyWeb jest w stanie zbierać dane konfiguracyjne z naruszonych serwerów AD FS, odszyfrowanych certyfikatów podpisywania tokenów i certyfikatów odszyfrowywania tokenów. Ponadto backdoor może zostać poinstruowany, aby pobierał i uruchamiał dodatkowe szkodliwe komponenty w systemie.

FoggyWeb może atakować dowolną wersję AD FS i dziedziczy wszystkie uprawnienia konta wymagane do uzyskania dostępu do bazy danych konfiguracji serwera. Ma również programowy dostęp do legalnych klas, właściwości, obiektów, pól, komponentów i metod, które następnie wykorzystuje do wykonywania swoich zagrażających działań.