Malware FoggyWeb usado pelos atores Nobelium APT
Uma das maiores campanhas de crime cibernético de 2021 foi o ataque à cadeia de suprimentos contra o fornecedor de software SolarWinds. O grupo por trás disso, o Nobelium APT, ainda está ativo. Eles estão desenvolvendo diferentes tipos de malware e tentando explorar uma ampla variedade de aplicativos da Web voltados para a Internet. Um de seus alvos mais recentes parece ser os Serviços de Federação do Active Directory (AD FS) - nesses ataques, os criminosos estão usando um novo malware personalizado denominado FoggyWeb.
Além de funcionar como uma ferramenta de pós-exploração, o FoggyWeb Malware também pode ser útil quando os hackers desejam coletar credenciais de sistemas infectados. As credenciais roubadas costumam ser usadas para explorar e infectar mais servidores AD FS. Supostamente, o Malware FoggyWeb está ativo desde abril de 2021. No entanto, sua atividade tem aumentado rapidamente nos últimos meses.
FoggyWeb Malware se concentra na extração de credenciais
A ameaça parece ser usada em ataques altamente direcionados, e os criminosos provavelmente têm planos maiores para o futuro de sua operação. Essa ameaça funciona como um cavalo de Tróia backdoor, que silenciosamente coleta e exfiltra dados de servidores comprometidos. Embora seu foco principal sejam as credenciais de login, o implante também pode roubar arquivos específicos ou outras informações. Além disso, ele oferece suporte a uma ampla gama de comandos remotos, que os invasores podem executar por meio de seu servidor de comando e controle. Até agora, o FoggyWeb Malware parece ser um backdoor com o único propósito de infectar servidores AD FS. Claro, é possível que os hackers do Nobelium possam retrabalhá-lo para direcionar outros ambientes e serviços no futuro.
Os hackers da SolarWinds provavelmente dependem de campanhas de spearphishing de e-mail habilmente projetadas para entregar a carga útil. Foi o que aconteceu em maio de 2021, quando se fizeram passar pela Agência dos Estados Unidos para o Desenvolvimento Internacional. Obviamente, as táticas de propagação de malware que os atores de APT importantes usam evoluem constantemente. Não seria uma surpresa se eles optassem por explorar também outras técnicas.