FoggyWeb Malware

Le FoggyWeb Malware est l'un des derniers ajouts menaçants à l'arsenal de logiciels malveillants du groupe APT (Advanced Persistent Threat).NOBELIUM. Ce groupe particulier a démontré qu'il a accès à des ressources qui dépassent de loin celles des autres groupes de cybercriminalité. Les pirates de NOBELIUM utilise plusieurs menaces puissantes hautement ciblées et personnalisées et met à jour sa boîte à outilsconstamment. L'attaque de la chaîne d'approvisionnement de l'année dernière contre SolarWinds est attribuée au groupe alors qu'au début de cette année, il a lancé une campagne par courrier électronique dans laquelle les pirates ont usurpé l'identité de l'Agence américaine pour le développement international (USAID).

Selon un rapport de Microsoft, qui continue de suivre les activités du groupe de cybercriminalité, le malware FoogyWeb est activement utilisé depuis au moins avril 2021. La menace du malware est une porte dérobée passive avec de multiples fonctionnalités. Il est déployé sur des serveurs Active Directory Federation Services (AD FS) compromis. L'objectif de NOBELIUM est d'exfiltrer les informations sensibles des machines infectées, FoggyWeb étant capable de collecter les données de configuration des serveurs AD FS violés, les certificats de signature de jetons déchiffrés et les certificats de déchiffrement de jetons. De plus, la porte dérobée peut recevoir l'instruction de récupérer et d'exécuter des composants nuisibles supplémentaires sur le système.

FoggyWeb peut attaquer n'importe quelle version d'AD FS et hérite de toutes les autorisations de compte requises pour accéder à la base de données de configuration du serveur. Il dispose également d'un accès par programme aux classes, propriétés, objets, champs, composants et méthodes légitimes, dont il abuse ensuite pour mener à bien ses activités menaçantes.