FoggyWebマルウェア

FoggyWeb Malwareは、APT（Advanced Persistent Threat）グループのマルウェア兵器庫に追加された最新の脅威の1つです。ノーベリウム。この特定のグループは、他のサイバー犯罪グループが持っているものをはるかに超えるリソースにアクセスできることを実証しました。からのハッカーNOBELIUMは、ターゲットを絞ったカスタムメイドの強力な脅威を複数採用しており、ツールキットを更新しています。常に。昨年のSolarWindsに対するサプライチェーン攻撃はこのグループによるものですが、今年初めには、ハッカーが米国国際開発庁（USAID）になりすました電子メールキャンペーンを開始しました。

サイバー犯罪グループの活動を追跡し続けているMicrosoftのレポートによると、FoogyWebマルウェアは、少なくとも2021年4月から積極的に使用されています。マルウェアの脅威は、複数の機能を備えたパッシブバックドアです。侵害されたActiveDirectoryフェデレーションサービス（AD FS）サーバーに展開されます。 NOBELIUMの目標は、感染したマシンから機密情報を盗み出すことです。FoggyWebは、侵害されたAD FSサーバー、復号化されたトークン署名証明書、およびトークン復号化証明書の構成データを収集できます。さらに、バックドアは、システム上で追加の有害なコンポーネントをフェッチして実行するように指示できます。

FoggyWebは、任意のAD FSバージョンを攻撃でき、サーバーの構成データベースにアクセスするために必要なすべてのアカウントアクセス許可を継承します。また、正当なクラス、プロパティ、オブジェクト、フィールド、コンポーネント、およびメソッドにプログラムでアクセスし、それらを悪用して脅迫的な活動を実行します。