Вредоносное ПО FoggyWeb, используемое участниками Nobelium APT
Одной из крупнейших кампаний по борьбе с киберпреступностью в 2021 году стала атака цепочки поставок на поставщика программного обеспечения SolarWinds. Группа, стоящая за этим, Nobelium APT, все еще активна. Они разрабатывают различные типы вредоносных программ и пытаются использовать широкий спектр веб-приложений, подключенных к Интернету. Одной из их последних целей являются службы федерации Active Directory (AD FS) - в этих атаках злоумышленники используют новую специальную вредоносную программу, получившую название FoggyWeb.
Помимо работы в качестве инструмента после эксплуатации, вредоносное ПО FoggyWeb также может пригодиться, когда хакеры хотят получить учетные данные из зараженных систем. Украденные учетные данные часто используются для взлома и заражения большего количества серверов AD FS. Предположительно, вредоносное ПО FoggyWeb было активным с апреля 2021 года. Однако его активность быстро росла за последние несколько месяцев.
Вредоносное ПО FoggyWeb нацелено на извлечение учетных данных
Угроза, по-видимому, используется в целевых атаках, и у преступников, вероятно, есть большие планы на будущее своей деятельности. Эта угроза работает как троян-бэкдор, который незаметно собирает и извлекает данные с взломанных серверов. Хотя его основная задача - учетные данные для входа, имплант также может украсть определенные файлы или другую информацию. Кроме того, он поддерживает широкий спектр удаленных команд, которые злоумышленники могут выполнить через свой командно-управляющий сервер. Пока что вредоносное ПО FoggyWeb является бэкдором с единственной целью - заразить серверы AD FS. Конечно, не исключено, что хакеры Nobelium могут переработать его для нацеливания на другие среды и службы в будущем.
Хакеры SolarWinds , вероятно, будут полагаться на грамотно спроектированные кампании целевого фишинга по электронной почте, чтобы доставить полезную нагрузку. Так было в мае 2021 года, когда они выдавали себя за Агентство международного развития США. Конечно, тактика распространения вредоносных программ, которую используют высокопоставленные участники APT, постоянно развиваются. Не будет сюрпризом, если они решат изучить и другие методы.