Złośliwe oprogramowanie FoggyWeb wykorzystywane przez aktorów Nobelium APT

Jedną z największych kampanii cyberprzestępczych w 2021 r. był atak łańcucha dostaw na dostawcę oprogramowania SolarWinds. Stojąca za nim grupa, Nobelium APT, jest nadal aktywna. Opracowują różne rodzaje złośliwego oprogramowania i próbują wykorzystać szeroką gamę aplikacji internetowych dostępnych w Internecie. Jednym z ich ostatnich celów wydają się być usługi Active Directory Federation Services (AD FS) – w tych atakach przestępcy wykorzystują nowy niestandardowy fragment złośliwego oprogramowania o nazwie FoggyWeb.

Oprócz działania jako narzędzie post-exploitation, FoggyWeb Malware może być również przydatne, gdy hakerzy chcą zebrać dane uwierzytelniające z zainfekowanych systemów. Skradzione poświadczenia są często wykorzystywane do wykorzystywania i infekowania większej liczby serwerów AD FS. Podobno FoggyWeb Malware jest aktywne od kwietnia 2021 r. Jednak jego aktywność gwałtownie wzrosła w ciągu ostatnich kilku miesięcy.

FoggyWeb Malware koncentruje się na eksfiltracji poświadczeń

Zagrożenie wydaje się być wykorzystywane w wysoce ukierunkowanych atakach, a przestępcy prawdopodobnie mają większe plany dotyczące przyszłości ich operacji. Zagrożenie to działa jako trojan typu backdoor, który po cichu zbiera i eksfiltruje dane z zaatakowanych serwerów. Chociaż jego głównym celem są dane logowania, implant może również wykraść określone pliki lub inne informacje. Ponadto obsługuje szeroką gamę zdalnych poleceń, które atakujący mogą wykonać za pośrednictwem swojego serwera dowodzenia i kontroli. Jak dotąd, FoggyWeb Malware wydaje się być backdoorem, którego jedynym celem jest infekowanie serwerów AD FS. Oczywiście możliwe jest, że hakerzy Nobelium przerobią go, aby w przyszłości atakować inne środowiska i usługi.

Hakerzy SolarWinds prawdopodobnie będą polegać na sprytnie zaprojektowanych kampaniach e-mailowych, aby dostarczyć ładunek. Tak było w maju 2021 roku, kiedy podszyli się pod amerykańską Agencję Rozwoju Międzynarodowego. Oczywiście taktyki rozprzestrzeniania złośliwego oprogramowania stosowane przez znanych aktorów APT stale ewoluują. Nie byłoby niespodzianką, gdyby zdecydowali się również zbadać inne techniki.