微软已识别出去年 12 月实施 SolarWinds 软件供应链攻击的攻击者使用的另一款恶意软件。
研究人员发现了攻击组使用的许多模块,微软将其称为 Nobelium。 美国和英国正式指控俄罗斯外国情报局 (SVR) 黑客部门(也称为 APT29、Cozy Bear 和 The Dukes)对 4 月的袭击负责。
FoggyWeb 可以为入侵者创建永久后门
这种名为 FoggyWeb 的恶意软件会创建一个后门,入侵者在获得对目标服务器的访问权后使用该后门。
在这种情况下,工作人员采取了一系列措施来窃取 Active Directory 联合服务 (AD FS) 服务器的用户名和密码,以获得管理员级别的访问权限。 通过覆盖主引导记录,攻击者可以在清理后留在网络中。 据微软称,自 2021 年 4 月以来,FoggyWeb 已在野外被观察到。
微软警告用户注意恶意软件并给出一些建议
来自 Microsoft 威胁情报中心的 Ramin Nafisi 说:“Nobelium 使用 FoggyWeb 远程渗透受感染 AD FS 服务器的配置数据库、解密的令牌签名证书和令牌解密证书,以及下载和执行其他组件。”
“FoggyWeb 是一种被动且针对性很强的后门,能够从受感染的 AD FS 服务器中远程窃取敏感信息。 它还可以从命令和控制 (C2) 服务器接收其他恶意组件,并在受感染的服务器上执行它们,”他补充道。
此后门允许攻击者利用安全断言标记语言 (SAML) 令牌,该令牌用于使用户更容易登录应用程序。
Microsoft 建议可能受影响的消费者遵循以下三个关键操作:审核本地和云基础架构的配置,以及每个用户和每个应用程序的设置; 删除用户和应用程序访问权限,检查配置并重新颁发新的强凭据; 并使用硬件安全模块来防止 FoggyWeb 从 AD FS 服务器窃取机密。