Microsoft alerta sobre el malware FoggyWeb dirigido a Active Directory FS

FoggyWeb es una puerta trasera pasiva y altamente selectiva utilizada por el grupo de hacking estatal Nobelium.

Microsoft ha revelado este lunes un nuevo malware distribuido por el grupo de hackers responsable del ataque a la cadena de suministro de SolarWinds en diciembre, cuyo objetivo consiste en distribuir nuevas amenazas y robar información privilegiada de los servidores de Active Directory Federation Services (AD FS).

El Centro de Inteligencia de Amenazas de la empresa (“MSTIC”) le ha dado el nombre en clave de FoggyWeb, un “backdoor pasivo y altamente selectivo”, lo que convierte a este actor en la última herramienta de Nobelium en una larga lista de armas cibernéticas como Sunburst, Sunspot, Raindrop, Teardrop, GoldMax, GoldFinder, Sibot, Flipflop, NativeZone, EnvyScout, BoomBox y VaporRage.

“Una vez que Nobelium obtiene las credenciales y compromete con éxito un servidor, el actor se apoya en ese acceso para mantener la persistencia y profundizar su infiltración utilizando sofisticados malware y herramientas”, dijeron los investigadores de MSTIC. “Nobelium utiliza FoggyWeb para exfiltrar remotamente la base de datos de configuración de los servidores AD FS comprometidos, el certificado de firma de token descifrado y el certificado de descifrado de token, así como para descargar y ejecutar componentes adicionales”.

Microsoft dijo que observó FoggyWeb in the wild ya en abril de 2021, describiendo el implante como una “DLL maliciosa residente en memoria”.

Fuente – diarioti