Passa ai contenuti principali

Microsoft avverte del malware FoggyWeb che prende di mira i server FS di Active Directory

Microsoft lunedì ha rivelato un nuovo malware distribuito dal gruppo di hacker dietro l'attacco alla catena di approvvigionamento SolarWinds lo scorso dicembre per fornire payload aggiuntivi e rubare informazioni sensibili dai server Active Directory Federation Services ( ADFS ).

Il Threat Intelligence Center (MSTIC) del gigante tecnologico ha chiamato FoggyWeb "backdoor passiva e altamente mirata", rendendolo l'attore di minacce tracciato come l'ultimo strumento di Nobelium in una lunga lista di armi informatiche come Sunburst , Sunspot , Raindrop , Teardrop , GoldMax, GoldFinder , Sibot , Flipflop , NativeZone , EnvyScout, BoomBox e VaporRage .

"Una volta che Nobelium ottiene le credenziali e compromette con successo un server, l'attore fa affidamento su tale accesso per mantenere la persistenza e approfondire la sua infiltrazione utilizzando malware e strumenti sofisticati", hanno affermato i ricercatori di MSTIC . "Nobelium utilizza FoggyWeb per estrarre in remoto il database di configurazione dei server AD FS compromessi, del certificato di firma token decrittografato e del certificato di decrittografia token, nonché per scaricare ed eseguire componenti aggiuntivi".

Microsoft ha affermato di aver osservato FoggyWeb in natura già nell'aprile 2021, descrivendo l'impianto come una "DLL dannosa residente in memoria".

Nobelium è il soprannome assegnato dall'azienda al gruppo di hacker di stato nazionale ampiamente noto come APT29 , The Dukes o Cozy Bear - una minaccia avanzata e persistente che è stata attribuita al Foreign Intelligence Service (SVR) della Russia - e che si ritiene sia stata dietro l' attacco ad ampio raggio contro SolarWinds che è venuto alla luce nel dicembre 2020. L'avversario dietro questa campagna viene anche monitorato con una varietà di nomi in codice come UNC2452 (FireEye), SolarStorm (Unità 42), StellarParticle (CrowdStrike), Dark Halo (Volexity ), e Iron Ritual (Secureworks).

FoggyWeb, installato utilizzando un caricatore sfruttando una tecnica chiamata dirottamento dell'ordine di ricerca DLL , è in grado di trasmettere informazioni sensibili da un server AD FS compromesso, nonché di ricevere ed eseguire payload dannosi aggiuntivi recuperati da un server remoto controllato da un aggressore. È inoltre progettato per monitorare tutte le richieste HTTP GET e POST in entrata inviate al server dall'intranet (o da Internet) e intercettare le richieste HTTP di interesse per l'attore.

"La protezione dei server ADFS è fondamentale per mitigare gli attacchi Nobelium", hanno affermato i ricercatori. "Il rilevamento e il blocco di malware, attività di aggressori e altri artefatti dannosi sui server AD FS possono interrompere passaggi critici nelle catene di attacchi Nobelium note. I clienti dovrebbero rivedere la configurazione del server AD FS e implementare le modifiche per proteggere questi sistemi dagli attacchi".
Tag:

Commenti

Posta un commento

Popolari

WinRAR sotto attacco, zero-day critica sfruttata da hacker russi

Il 10 agosto 2025 è stata resa pubblica la vulnerabilità CVE-2025-8088 di WinRAR, una falla di tipo directory traversal già sfruttata in attacchi mirati da RomCom, gruppo hacker legato alla Russia e noto per operazioni di cyber-spionaggio ed estorsione. Il problema risiede nella gestione dei percorsi all’interno di archivi compressi: un file RAR malevolo può includere riferimenti a directory specifiche del sistema, forzando WinRAR a estrarre file in percorsi diversi da quelli scelti dall’utente. In particolare, è possibile copiare eseguibili nelle cartelle di avvio automatico di Windows, come %APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup o %ProgramData%\Microsoft\Windows\Start Menu\Programs\StartUp. Alla successiva accensione del PC, il malware viene avviato in automatico, ottenendo così persistenza sul sistema e potenzialmente consentendo il controllo remoto. Gli attacchi osservati sono stati condotti tramite campagne di spear-phishing: le vittime ricevevano email contenenti...
Posta un commento
Continua a leggere »

Nuovo attacco agli ambienti ibridi Microsoft, l’allarme lanciato a Black Hat. Active Directory ed Entra ID sotto esame, la tecnica che sfida MFA e controlli tradizionali

A Black Hat USA 2025 è stata mostrata una lezione dura ma utile per chiunque gestisca identità e mail aziendali: un ricercatore ha dimostrato come, in certi ambienti ibridi che sincronizzano Active Directory locale con Microsoft Entra ID (ex Azure AD), un account cloud apparentemente a bassa priorità possa essere trasformato in un account “ibrido” con privilegi amministrativi, senza passare dalle normali barriere di autenticazione e senza far scattare gli allarmi tradizionali. La dimostrazione — presentata da Dirk-jan Mollema di Outsider Security — ha messo in luce vettori di abuso legati al server di sincronizzazione (Entra Connect), alle modalità di corrispondenza degli account tra on-prem e cloud (soft matching) e a token/claim usati nei meccanismi di delega e in Exchange ibrido. Per chi non mastica quotidianamente questi termini: molte aziende hanno ancora un Active Directory “dentro l’azienda” per utenti e servizi, e allo stesso tempo usano servizi cloud come Microsoft 365. Per fa...
Posta un commento
Continua a leggere »

Italia, via libera al contrattacco cyber. Il nostro Paese ora può rispondere colpo su colpo

Immagina una stanza blindata, luci basse, grafici e mappe digitali proiettati sulle pareti: in mezzo al tavolo, una decisione da prendere in pochi minuti. È lo scenario che la nuova norma italiana rende possibile, dando al Presidente del Consiglio il potere di autorizzare, dopo consultazione con CISR e Copasir, un contrattacco cibernetico vero e proprio. Non parliamo di alzare firewall o bloccare un IP, ma di operazioni offensive su scala statale, condotte da AISE e AISI, con il coordinamento del DIS e il supporto del Ministero della Difesa. Il quadro è stato reso operativo con il Decreto Sicurezza (DL 48/2025, legge dal 9 giugno), che ha messo nero su bianco procedure, ruoli e condizioni. La norma prevede tre requisiti fondamentali: il bersaglio dev’essere identificabile con alto grado di certezza (ad esempio un gruppo APT o un’infrastruttura C2 specifica), le difese convenzionali devono essersi dimostrate inefficaci e la minaccia deve riguardare la sicurezza nazionale o quella di un...
Posta un commento
Continua a leggere »