FoggyWeb-malware gebruikt door de Nobelium APT-acteurs

Revil Ransomware Hits a Law Firm

Een van de grootste cybercriminaliteitscampagnes van 2021 was de supply chain-aanval op de softwareleverancier SolarWinds. De groep erachter, het Nobelium APT, is nog steeds actief. Ze ontwikkelen verschillende soorten malware en proberen een breed scala aan internetgerichte webtoepassingen te exploiteren. Een van hun laatste doelwitten lijkt Active Directory Federation Services (AD FS) te zijn – bij deze aanvallen gebruiken de criminelen een nieuw aangepast stuk malware genaamd FoggyWeb.

Behalve als een post-exploitatietool, kan de FoggyWeb Malware ook van pas komen wanneer de hackers inloggegevens van geïnfecteerde systemen willen verzamelen. De gestolen inloggegevens worden vaak gebruikt om meer AD FS-servers te misbruiken en te infecteren. Naar verluidt is de FoggyWeb-malware actief sinds april 2021. De activiteit is de afgelopen maanden echter snel toegenomen.

FoggyWeb Malware richt zich op het exfiltreren van inloggegevens

De dreiging lijkt te worden gebruikt bij zeer gerichte aanvallen en de criminelen hebben waarschijnlijk grotere plannen voor de toekomst van hun operatie. Deze dreiging werkt als een backdoor-trojan, die in stilte gegevens verzamelt en exfiltreert van gecompromitteerde servers. Hoewel de primaire focus inloggegevens zijn, kan het implantaat ook specifieke bestanden of andere informatie stelen. Bovendien ondersteunt het een breed scala aan externe commando's, die de aanvallers kunnen uitvoeren via hun command-and-control-server. Tot nu toe lijkt de FoggyWeb-malware een achterdeur te zijn met als enig doel AD FS-servers te infecteren. Het is natuurlijk mogelijk dat de Nobelium-hackers het in de toekomst herwerken om zich op andere omgevingen en services te richten.

De hackers van SolarWinds vertrouwen waarschijnlijk op slim ontworpen e-mail-spearphishing-campagnes om de payload te leveren. Dit was het geval in mei 2021 toen ze zich voordeden als het Amerikaanse Agentschap voor Internationale Ontwikkeling. Natuurlijk evolueren de tactieken voor het verspreiden van malware die spraakmakende APT-actoren gebruiken voortdurend. Het zou geen verrassing zijn als ze ervoor kiezen om ook andere technieken te verkennen.

September 30, 2021
Bezig met laden...

Cyclonis Backup Details & Terms

Het gratis Basic Cyclonis Backup-abonnement geeft je 2 GB cloudopslagruimte met volledige functionaliteit! Geen kredietkaart nodig. Meer opslagruimte nodig? Koop vandaag nog een groter Cyclonis Backup-abonnement! Zie Servicevoorwaarden, Privacybeleid, Kortingsvoorwaarden en Aankooppagina voor meer informatie over ons beleid en onze prijzen. Als u de app wilt verwijderen, gaat u naar de pagina met instructies voor het verwijderen.

Cyclonis Password Manager Details & Terms

GRATIS proefversie: eenmalige aanbieding van 30 dagen! Geen creditcard vereist voor gratis proefversie. Volledige functionaliteit voor de duur van de gratis proefperiode. (Volledige functionaliteit na gratis proefversie vereist aankoop van een abonnement.) Voor meer informatie over ons beleid en onze prijzen, zie EULA, Privacybeleid, Kortingsvoorwaarden en Aankooppagina. Als u de app wilt verwijderen, gaat u naar de pagina met instructies voor het verwijderen.