بدافزار می تواند اطلاعات حساس دامنه های ویندوز را حذف کند.
مایکروسافت اطلاعاتی در مورد بدافزار جدیدی که FoggyWeb نامیده است ، منتشر کرد که توسط Nobelium عاملان تهدید سایبری اخیر روسیه توسعه یافته است و گفته می شود که عامل حمله ویرانگر زنجیره تامین SolarWinds به سیستم های فناوری اطلاعات شرکت ها و دولت در سراسر جهان هستند.
FoggyWeb پشت در های ورودی سرور و در قسمت اکتیو دایرکتوری مستقر است و ورود به سیستم را برای کابران ارائه میدهد.
به گفته مرکز اطلاعاتی تهدیدهای مایکروسافت ، این بدافزار می تواند اطلاعات حساس سرور های AD FS که توسط Nobelium مورد حمله قرار گرفته است از راه دور دسترس پذیر و مورد حمله قرار دهد.
پایگاه داده سرور AD FS که مورد حمله قرار گرفته است شامل پیکربندی های سرور AD FS ، گواهی امضای رمز نگاری شده ، گواهی های رمز گشایی (decryption certificates) و توکن ها میباشد.
FoggyWeb همچنین می تواند بدافزارهای بیشتری را از سرورهایNobelium جهت فرمان پذیری و کنترل دریافت کند و این موارد در قسمت های آسیب دیده AD FS اجرا کند.
مشترکینی که تصور می شود توسط Nobelium و FoggyWeb مورد حمله قرار گرفته اند ، توسط مایکروسافت به آنها هشدار داده شده است و به کاربران AD FS توصیه می کند اقدامات مختلفی را برای امنیت سرورهای خود انجام دهند.
این شرکت اعلام کرد که FoggyWeb توسط ابزار ضد بدافزار Defender 365 شناسایی شده است.