Microsoft a révélé une nouvelle menace liée à un logiciel malveillant déployé par le même groupe de pirates responsable de l'attaque de la chaîne d'approvisionnement de SolarWinds. Ce malware peut fournir des charges utiles supplémentaires et voler des informations sensibles sur les serveurs Active Directory Federation Services (AD FS).

Le centre de renseignement sur les menaces du géant de la technologie (MSTIC) a baptisé la "porte dérobée passive et hautement ciblée" FoggyWeb, qui constitue le dernier outil de Nobelium -Nobelium est la désignation attribuée par l'entreprise au groupe de pirates connu sous le nom d'APT29, The Dukes ou Cozy Bear- dans une longue liste de cyber-armes telles que Sunburst, Sunspot, Raindrop, Teardrop, GoldMax, GoldFinder, Sibot, Flipflop, NativeZone, EnvyScout, BoomBox et VaporRage.

Une fois que NOBELIUM a obtenu des informations d'identification et a réussi à compromettre un serveur, il utilise cet accès pour maintenir sa persistance et approfondir son infiltration à l'aide de logiciels malveillants et d'outils sophistiqués.

NOBELIUM par la suite utilise FoggyWeb qui est installé à l'aide d'un loader en exploitant une technique appelée détournement de l'ordre de recherche des DLL , afin d’exfiltrer à distance la base de données de configuration des serveurs AD FS compromis, le certificat de signature de jeton décrypté et le certificat de décryptage de jeton, ainsi que pour télécharger et exécuter des composants supplémentaires. Il est également conçu pour surveiller toutes les requêtes HTTP GET et POST entrantes envoyées au serveur depuis l'intranet (ou l'Internet) et intercepter les requêtes HTTP qui présentent un intérêt pour l'acteur.

Microsoft a recommandé quelques moyens pour atténuer les risques dans l'article d'alerte et a également fait référence à un article intitulé "Best Practices for securing AD FS and Web Application Proxy" pour renforcer la sécurité des AD FS.