Κακόβουλο λογισμικό FoggyWeb Χρησιμοποιείται από τους ηθοποιούς Nobelium APT
Μία από τις μεγαλύτερες καμπάνιες για εγκλήματα στον κυβερνοχώρο του 2021 ήταν η επίθεση στην αλυσίδα εφοδιασμού εναντίον του προμηθευτή λογισμικού SolarWinds. Η ομάδα πίσω της, το Nobelium APT, είναι ακόμα ενεργή. Αναπτύσσουν διαφορετικούς τύπους κακόβουλου λογισμικού και προσπαθούν να εκμεταλλευτούν ένα ευρύ φάσμα εφαρμογών Ιστού που αντιμετωπίζουν το Διαδίκτυο. Ένας από τους τελευταίους στόχους τους φαίνεται να είναι οι Υπηρεσίες Ομοσπονδίας Active Directory (AD FS) - σε αυτές τις επιθέσεις, οι εγκληματίες χρησιμοποιούν ένα νέο προσαρμοσμένο κομμάτι κακόβουλου λογισμικού που ονομάζεται FoggyWeb.
Εκτός από το να λειτουργεί ως εργαλείο μετά την εκμετάλλευση, το FoggyWeb Malware μπορεί επίσης να είναι χρήσιμο όταν οι χάκερ θέλουν να συλλέξουν διαπιστευτήρια από μολυσμένα συστήματα. Τα κλεμμένα διαπιστευτήρια χρησιμοποιούνται συχνά για εκμετάλλευση και μόλυνση περισσότερων διακομιστών AD FS. Φαίνεται ότι το FoggyWeb Malware είναι ενεργό από τον Απρίλιο του 2021. Ωστόσο, η δραστηριότητά του αυξάνεται ραγδαία τους τελευταίους μήνες.
Το κακόβουλο λογισμικό FoggyWeb επικεντρώνεται σε διαπιστευτήρια διερεύνησης
Η απειλή φαίνεται να χρησιμοποιείται σε επιθέσεις με υψηλό στόχο και οι εγκληματίες είναι πιθανό να έχουν μεγαλύτερα σχέδια για το μέλλον της επιχείρησής τους. Αυτή η απειλή λειτουργεί ως backdoor Trojan, το οποίο συλλέγει και φιλτράρει σιωπηλά δεδομένα από παραβιασμένους διακομιστές. Ενώ ο κύριος στόχος του είναι τα διαπιστευτήρια σύνδεσης, το εμφύτευμα θα μπορούσε επίσης να κλέψει συγκεκριμένα αρχεία ή άλλες πληροφορίες. Επιπλέον, υποστηρίζει ένα ευρύ φάσμα απομακρυσμένων εντολών, τις οποίες οι επιτιθέμενοι θα μπορούσαν να εκτελέσουν μέσω του διακομιστή εντολών και ελέγχου. Μέχρι στιγμής, το κακόβουλο λογισμικό FoggyWeb φαίνεται να είναι μια πίσω πόρτα με μοναδικό σκοπό τη μόλυνση των διακομιστών AD FS. Φυσικά, είναι πιθανό οι χάκερ Nobelium να το επεξεργαστούν για να στοχεύσουν άλλα περιβάλλοντα και υπηρεσίες στο μέλλον.
Οι χάκερ του SolarWinds είναι πιθανό να βασίζονται σε έξυπνα σχεδιασμένες καμπάνιες ψαρέματος ψαρέματος μέσω ηλεκτρονικού ταχυδρομείου για την παροχή του ωφέλιμου φορτίου. Αυτό συνέβη τον Μάιο του 2021 όταν υποδύθηκαν τον Αμερικανικό Οργανισμό Διεθνούς Ανάπτυξης. Φυσικά, οι τακτικές διάδοσης κακόβουλου λογισμικού που χρησιμοποιούν υψηλού προφίλ ηθοποιοί APT εξελίσσονται συνεχώς. Δεν θα ήταν έκπληξη αν επιλέξουν να εξερευνήσουν και άλλες τεχνικές.
