NobeliumAPTアクターが使用するFoggyWebマルウェア
2021年の最大のサイバー犯罪キャンペーンの1つは、SolarWindsソフトウェアベンダーに対するサプライチェーン攻撃でした。その背後にあるグループであるNobeliumAPTは、現在も活動を続けています。彼らはさまざまな種類のマルウェアを開発しており、インターネットに直接接続されたさまざまなWebアプリケーションを悪用しようとしています。最新のターゲットの1つは、Active Directoryフェデレーションサービス(AD FS)のようです。これらの攻撃では、犯罪者はFoggyWebと呼ばれる新しいカスタムマルウェアを使用しています。
FoggyWebマルウェアは、エクスプロイト後のツールとして機能するだけでなく、ハッカーが感染したシステムから資格情報を収集したい場合にも役立ちます。盗まれた資格情報は、より多くのADFSサーバーを悪用して感染させるためによく使用されます。伝えられるところでは、FoggyWebマルウェアは2021年4月から活動しています。しかし、その活動は過去数か月にわたって急速に増加しています。
FoggyWebマルウェアはクレデンシャルの盗用に焦点を当てています
この脅威は、標的を絞った攻撃で使用されているようであり、犯罪者は、彼らの作戦の将来についてより大きな計画を立てる可能性があります。この脅威はバックドア型トロイの木馬として機能し、侵入先のサーバーからデータをサイレントに収集して盗み出します。その主な焦点はログイン資格情報ですが、インプラントは特定のファイルやその他の情報を盗む可能性もあります。さらに、攻撃者がコマンドアンドコントロールサーバーを介して実行する可能性のあるさまざまなリモートコマンドをサポートします。これまでのところ、FoggyWebマルウェアは、ADFSサーバーへの感染を唯一の目的とするバックドアのようです。もちろん、将来、ノーベリウムのハッカーが他の環境やサービスを標的にするためにそれを作り直す可能性があります。
SolarWindsのハッカーは、巧妙に設計された電子メールのスピアフィッシングキャンペーンに依存してペイロードを配信する可能性があります。これは、2021年5月に米国国際開発庁になりすましたときに当てはまりました。もちろん、著名なAPTアクターが使用するマルウェア伝播戦術は絶えず進化しています。彼らが他の技術も探求することを選んだとしても、それは驚くことではありません。