FoggyWeb 恶意软件
FoggyWeb 恶意软件是 APT(高级持续威胁)组恶意软件库的最新威胁添加之一诺贝尔。这个特定的团体已经证明它可以访问远远超过其他网络犯罪团体所拥有的资源。黑客来自NOBELIUM采用多种针对性强、定制的强大威胁,并正在更新他们的工具包不断地。去年针对 SolarWinds 的供应链攻击归因于该组织,而今年早些时候它发起了一场电子邮件活动,黑客冒充美国国际开发署 (USAID)。
根据微软继续跟踪网络犯罪组织活动的报告,至少从 2021 年 4 月开始,FoogyWeb 恶意软件就一直在积极使用。恶意软件威胁是一个具有多种功能的被动后门。它部署在受感染的 Active Directory 联合身份验证服务 (AD FS) 服务器上。 NOBELIUM 的目标是通过 FoggyWeb 从受感染机器中窃取敏感信息,FoggyWeb 能够收集被破坏的 AD FS 服务器的配置数据、解密的令牌签名证书和令牌解密证书。此外,可以指示后门获取并执行系统上的其他有害组件。
FoggyWeb 可以攻击任何 AD FS 版本,它继承访问服务器配置数据库所需的所有帐户权限。它还可以以编程方式访问合法的类、属性、对象、字段、组件和方法,然后它会滥用这些来执行其威胁活动。
