FoggyWeb Malware

FoggyWeb Malware är en av de senaste hotfulla tilläggen till malware -arsenalen i gruppen APT (Advanced Persistent Threat)NOBELIUM. Just den här gruppen har visat att den har tillgång till resurser som långt överstiger vad andra cyberbrottsgrupper har. Hackarna från NOBELIUM använder flera mycket riktade, skräddarsydda kraftfulla hot och uppdaterar sin verktygslådaständigt. Fjolårets attack-chain-attack mot SolarWinds tillskrivs gruppen medan den tidigare i år lanserade en e-postkampanj där hackarna efterliknade US Agency for Internation Development (USAID).

Enligt en rapport från Microsoft, som fortsätter att spåra cyberbrottsgruppens verksamhet, har FoogyWeb -skadlig programvara använts aktivt sedan minst april 2021. Hotet mot skadlig kod är en passiv bakdörr med flera funktioner. Den distribueras på komprometterade Active Directory Federation Services (AD FS) -servrar. NOBELIUMs mål är att exfiltrera känslig information från de infekterade maskinerna med FoggyWeb som kan samla in konfigurationsdata för de trasiga AD FS-servrarna, dekrypterade token-signeringscertifikat och token-dekrypteringscertifikat. Dessutom kan bakdörren instrueras att hämta och exekvera ytterligare skadliga komponenter i systemet.

FoggyWeb kan attackera alla AD FS -versioner och det ärver alla kontotillstånd som krävs för att komma åt serverns konfigurationsdatabas. Den har också programmatisk tillgång till de legitima klasserna, egenskaperna, objekten, fälten, komponenterna och metoderna, som den sedan missbrukar för att utföra sina hotfulla aktiviteter.