FoggyWeb-Malware

FoggyWeb-Malware-Beschreibung

Die FoggyWeb Malware ist eine der neuesten bedrohlichen Ergänzungen im Malware-Arsenal der APT (Advanced Persistent Threat)-GruppeNOBELIUM. Diese spezielle Gruppe hat bewiesen, dass sie Zugang zu Ressourcen hat, die weit über denen anderer Cyberkriminalitätsgruppen liegen. Die Hackers von NOBELIUM setzten mehrere sehr gezielte, maßgeschneiderte leistungsstarke Bedrohungen ein und aktualisieren ihr Toolkit ständig. Der letztjährige Supply-Chain-Angriff auf SolarWinds wird der Gruppe zugeschrieben, während sie Anfang dieses Jahres eine E-Mail-Kampagne startete, bei der sich die Hacker als die US-Agentur für internationale Entwicklung (USAID) ausgeben.

Laut einem Bericht von Microsoft, der weiterhin die Aktivitäten des Cybercrime-Konzerns verfolgt, ist die FoogyWeb-Malware mindestens seit April 2021 aktiv im Einsatz. Bei der Malware-Bedrohung handelt es sich um eine passive Hintertür mit mehreren Funktionalitäten. Es wird auf kompromittierten Active Directory Federation Services (AD FS)-Servern bereitgestellt. Das Ziel von NOBELIUM besteht darin, sensible Informationen von den infizierten Computern zu exfiltrieren, wobei FoggyWeb in der Lage ist, die Konfigurationsdaten der angegriffenen AD FS-Server, entschlüsselte Token-Signaturzertifikate und Token-Entschlüsselungszertifikate zu sammeln. Darüber hinaus kann die Hintertür angewiesen werden, zusätzliche schädliche Komponenten auf dem System abzurufen und auszuführen.

FoggyWeb kann jede AD FS-Version angreifen und erbt alle Kontoberechtigungen, die für den Zugriff auf die Konfigurationsdatenbank des Servers erforderlich sind. Es hat auch programmatischen Zugriff auf die legitimen Klassen, Eigenschaften, Objekte, Felder, Komponenten und Methoden, die es dann missbraucht, um seine bedrohlichen Aktivitäten auszuführen.