FoggyWeb Malware

FoggyWeb Malware Descripción

El FoggyWeb Malware es una de las últimas adiciones amenazantes al arsenal de malware del grupo APT (Advanced Persistent Threat)NOBELIUM. Este grupo en particular ha demostrado que tiene acceso a recursos que superan con creces los que tienen otros grupos de ciberdelincuencia. Los hackers de NOBELIUM emplea múltiples amenazas poderosas altamente específicas y personalizadas y está actualizando su kit de herramientasconstantemente. El ataque a la cadena de suministro del año pasado contra SolarWinds se atribuye al grupo, mientras que a principios de este año lanzó una campaña de correo electrónico en la que los piratas informáticos se hicieron pasar por la Agencia de los Estados Unidos para el Desarrollo Internacional (USAID).

Según un informe de Microsoft, que continúa rastreando las actividades del grupo de ciberdelincuencia, el malware FoogyWeb ha estado en uso activo desde al menos abril de 2021. La amenaza de malware es una puerta trasera pasiva con múltiples funcionalidades. Se implementa en servidores comprometidos de Servicios de federación de Active Directory (AD FS). El objetivo de NOBELIUM es extraer información confidencial de las máquinas infectadas y FoggyWeb es capaz de recopilar los datos de configuración de los servidores AD FS vulnerados, certificados de firma de tokens descifrados y certificados de descifrado de tokens. Además, se puede indicar a la puerta trasera que busque y ejecute componentes dañinos adicionales en el sistema.

FoggyWeb puede atacar cualquier versión de AD FS y hereda todos los permisos de cuenta necesarios para acceder a la base de datos de configuración del servidor. También tiene acceso programático a las clases, propiedades, objetos, campos, componentes y métodos legítimos, que luego abusa para llevar a cabo sus actividades amenazantes.