# FoggyWeb > Tipo: **backdoor** · S0661 · [MITRE ATT&CK](https://attack.mitre.org/software/S0661) ## Descrição [[s0661-foggyweb|FoggyWeb]] é um backdoor passivo e altamente direcionado desenvolvido pelo grupo [[g0016-apt29|APT29]] (Cozy Bear, Nobelium), utilizado em operações de espionagem desde pelo menos abril de 2021. O malware foi projetado específicamente para comprometer servidores Active Directory Federated Services (AD FS), a infraestrutura crítica usada por organizações para implementar Single Sign-On (SSO) federado. Ao comprometer o AD FS, os atacantes obtêm acesso a tokens SAML que permitem movimentação lateral para qualquer serviço integrado à federação de identidades - incluindo Microsoft 365, Azure, e aplicações SaaS críticas. O [[s0661-foggyweb|FoggyWeb]] opera carregando-se como um módulo dentro do processo legítimo do AD FS (`Microsoft.IdentityServer.Servicehost.exe`), tornando-se extremamente difícil de detectar por soluções de segurança que não inspecionam o processo específico. O backdoor intercepta requisições HTTP direcionadas ao servidor AD FS para exfiltrar tokens e certificados de assinatura, e também aceita payloads adicionais enviados pelos operadores disfarçados de tráfego legítimo. A técnica de "sniffing" de tráfego interno do servidor é particularmente insidiosa pois opera dentro de um processo de sistema confiável. A infraestrutura do [[g0016-apt29|APT29]] que utiliza o FoggyWeb demonstra sofisticação operacional elevada: o malware é compilado após entrega ([[t1027-004-compile-after-delivery|T1027.004]]) para evitar detecção por assinatura, utiliza chaves privadas roubadas do servidor AD FS para descriptografar tokens capturados, e manteia comunicação C2 de baixo volume para minimizar detecção. O comprometimento de servidores AD FS representa um dos ataques de maior impacto possível em ambientes Microsoft modernos. **Plataformas:** Windows ## Técnicas Utilizadas - [[t1140-deobfuscatedecode-files-or-information|T1140 - Deobfuscaté/Decode Files or Information]] - [[t1560-003-archive-via-custom-method|T1560.003 - Archive via Custom Method]] - [[t1041-exfiltration-over-c2-channel|T1041 - Exfiltration Over C2 Channel]] - [[t1027-004-compile-after-delivery|T1027.004 - Compile After Delivery]] - [[t1005-data-from-local-system|T1005 - Data from Local System]] - [[t1027-013-encryptedencoded-file|T1027.013 - Encrypted/Encoded File]] - [[t1071-001-web-protocols|T1071.001 - Web Protocols]] - [[t1552-004-private-keys|T1552.004 - Private Keys]] - [[t1036-masquerading|T1036 - Masquerading]] - [[t1057-process-discovery|T1057 - Process Discovery]] - [[t1550-use-alternate-authentication-material|T1550 - Use Alternaté Authentication Material]] - [[t1106-native-api|T1106 - Native API]] - [[t1129-shared-modules|T1129 - Shared Modules]] - [[t1040-network-sniffing|T1040 - Network Sniffing]] - [[t1560-002-archive-via-library|T1560.002 - Archive via Library]] ## Grupos que Usam - [[g0016-apt29|APT29]] ## Detecção > [!tip] Indicadores de Detecção > - Monitorar DLLs carregadas pelo processo `Microsoft.IdentityServer.Servicehost.exe` - qualquer DLL não-padrão é suspeita > - Verificar integridade dos arquivos binários do AD FS regularmente usando hashes conhecidos > - Alertar sobre acesso não-autorizado aos arquivos de certificado de assinatura de token AD FS > - Monitorar requisições HTTP atípicas ao servidor AD FS (especialmente com padrões de path incomuns) > - Implementar EDR com capacidade de monitorar carregamento de módulos em processos de serviço do AD FS > - Revisar permissões e logs de acesso aos certificados de assinatura SAML regularmente ## Relevância LATAM/Brasil Organizações brasileiras que utilizam infraestrutura Microsoft federada com AD FS - incluindo grandes empresas, bancos, órgãos governamentais e universidades - são potencialmente vulneráveis ao FoggyWeb. O [[g0016-apt29|APT29]], grupo de inteligência russo, conduz espionagem contra governos e entidades estratégicas globalmente, e o Brasil, como membro do BRICS e parceiro comercial significativo, representa um alvo de inteligência relevante. A Microsoft recomenda que organizações migrem de AD FS para o Azure AD (Entra ID) com autenticação federada gerenciada na nuvem como mitigação primária contra esta classe de ataque. ## Referências - [MITRE ATT&CK - S0661](https://attack.mitre.org/software/S0661) - [Microsoft MSTIC - FoggyWeb Analysis](https://www.microsoft.com/security/blog/2021/09/27/foggyweb-targeted-nobelium-malware-leads-to-persistent-backdoor/)