FoggyWeb Malware

FoggyWeb Kötü Amaçlı Yazılım, APT (Gelişmiş Kalıcı Tehdit) grubunun kötü amaçlı yazılım cephaneliğine yapılan en son tehdit edici eklemelerden biridir.NOBELIUM. Bu özel grup, diğer siber suç gruplarının sahip olduğundan çok daha fazla kaynaklara erişimi olduğunu göstermiştir. bilgisayar korsanları NOBELIUM, yüksek düzeyde hedeflenmiş, ısmarlama güçlü tehditler kullanıyor ve araç setlerini güncelliyorsürekli. Geçen yıl SolarWinds'e yönelik tedarik zinciri saldırısı gruba atfedilirken, bu yılın başlarında bilgisayar korsanlarının ABD Uluslararası Kalkınma Ajansı'nı (USAID) taklit ettiği bir e-posta kampanyası başlattı.

Siber suç grubunun faaliyetlerini izlemeye devam eden Microsoft tarafından hazırlanan bir rapora göre, FoogyWeb kötü amaçlı yazılımı en az Nisan 2021'den beri aktif olarak kullanılıyor. Kötü amaçlı yazılım tehdidi, birden çok işleve sahip pasif bir arka kapıdır. Güvenliği ihlal edilmiş Active Directory Federasyon Hizmetleri (AD FS) sunucularına dağıtılır. NOBELIUM'un amacı, ihlal edilen AD FS sunucularının yapılandırma verilerini, şifresi çözülen belirteç imzalama sertifikalarını ve belirteç şifre çözme sertifikalarını toplama yeteneğine sahip olan FoggyWeb ile virüslü makinelerden hassas bilgileri sızdırmaktır. Ek olarak, arka kapıya sistem üzerinde ek zararlı bileşenleri getirmesi ve yürütmesi talimatı verilebilir.

FoggyWeb, herhangi bir AD FS sürümüne saldırabilir ve sunucunun yapılandırma veritabanına erişmek için gereken tüm hesap izinlerini devralır. Ayrıca, tehdit edici faaliyetlerini yürütmek için kötüye kullandığı meşru sınıflara, özelliklere, nesnelere, alanlara, bileşenlere ve yöntemlere programlı erişime sahiptir.