FoggyWeb Malware

O FoggyWeb Malware é uma das mais recentes adições ao arsenal de malware do grupo APT (Advanced Persistent Threat) NOBELIUM. Esse grupo em particular demonstrou que tem acesso a recursos que ultrapassam em muito o que outros grupos de crimes cibernéticos possuem. Os hackers do NOBELIUM empregam várias ameaças poderosas, personalizadas e altamente direcionadas e atualizam seu kit de ferramentas constantemente. O ataque à cadeia de suprimentos do ano passado contra a SolarWinds é atribuído ao grupo, embora no início deste ano ele tenha lançado uma campanha por e-mail em que os hackers se faziam passar pela Agência dos Estados Unidos para o Desenvolvimento Internacional (USAID).

De acordo com um relatório da Microsoft, que continua a rastrear as atividades do grupo, o malware FoogyWeb está em uso ativo desde pelo menos abril de 2021. A ameaça de malware é um backdoor passivo com múltiplas funcionalidades. Ele é implantado nos servidores comprometidos dos Serviços de Federação do Active Directory (AD FS). O objetivo da NOBELIUM é exfiltrar informações confidenciais das máquinas infectadas com o FoggyWeb sendo capaz de roubar os dados de configuração dos servidores AD FS violados, certificados de assinatura de tokens descriptografados e certificados de descriptografia de tokens. Além disso, o backdoor pode ser instruído a buscar e executar componentes prejudiciais adicionais no sistema.

O FoggyWeb pode atacar qualquer versão do AD FS e herda todas as permissões de conta necessárias para acessar o banco de dados de configuração do servidor. Ele também tem acesso programático às classes, propriedades, objetos, campos, componentes e métodos legítimos, que então abusa para realizar suas atividades ameaçadoras.