Вредоносное ПО FoggyWeb

Вредоносное ПО FoggyWeb - одно из последних угрожающих дополнений к арсеналу вредоносных программ группы APT (Advanced Persistent Threat).НОБЕЛИЙ. Эта конкретная группа продемонстрировала, что у нее есть доступ к ресурсам, намного превосходящим то, что есть у других киберпреступных групп. Хакеры изNOBELIUM использует несколько целевых, специально созданных мощных угроз и обновляет свой инструментарий.постоянно. Группа приписывает прошлогоднюю атаку цепочки поставок на SolarWinds, а в начале этого года она запустила кампанию по электронной почте, в которой хакеры выдавали себя за Агентство международного развития США (USAID).

Согласно отчету Microsoft, который продолжает отслеживать деятельность киберпреступной группы, вредоносное ПО FoogyWeb активно используется по крайней мере с апреля 2021 года. Угроза вредоносного ПО представляет собой пассивный бэкдор с множеством функций. Он развертывается на скомпрометированных серверах служб федерации Active Directory (AD FS). Целью NOBELIUM является эксфильтрация конфиденциальной информации с зараженных машин с помощью FoggyWeb, способного собирать данные конфигурации взломанных серверов AD FS, расшифрованные сертификаты для подписи маркеров и сертификаты расшифровки маркеров. Кроме того, бэкдор может получить указание на выборку и выполнение дополнительных вредоносных компонентов в системе.

FoggyWeb может атаковать любую версию AD FS и наследует все разрешения учетной записи, необходимые для доступа к базе данных конфигурации сервера. Он также имеет программный доступ к допустимым классам, свойствам, объектам, полям, компонентам и методам, которыми он затем злоупотребляет для выполнения своих угрожающих действий.