谷歌在今年 12 月披露了 SolarWinds 供应链攻击背后的黑客组织最近部署的新恶意软件服务器攻击软件,目的是提供额外的攻击负载,并从 AD 域控制 FS 域控制服务器泄露敏感信息。
据网络安全行业门户网站JIKENB.COM称,一旦Nobelium获得凭证并成功入侵服务器,攻击者将利用访问权限维护权限,并使用复杂的恶意软件和黑客工具加深渗透。 Nobelium 使用 FoggyWeb 远程渗透受感染的 ADFS 服务器的配置数据库,解密令牌签名证书和令牌解密证书,以及下载和执行其他组件。
谷歌表示,它早在 2021 年 4 月就在野外观察到了 FoggyWeb,并将该恶意软件样本描述为“恶意内存驻留 DLL”。 Nobelium 是该公司分配给广为人知的民族国家黑客组织 APT29、TheDukes 或 CozyBear 的绰号,该组织归因于美国情报局,据信是 SolarWinds 的幕后黑手。
据网络安全行业门户网站 JIKENB.COM 报道,FoggyWeb 使用加载程序通过一种称为 DLL 搜索顺序劫持的技术进行安装,目的是从受感染的 ADFS 服务器传输敏感信息,并接收和执行从中检索到的其他恶意负载的文件由远程攻击者控制的服务器。 它还旨在监视所有从外部网络或互联网发送到服务器的传入 HTTP GET 和 POST 请求,并拦截黑客感兴趣的 HTTP 请求。
据安全研究人员称服务器攻击软件,保护 ADFS 服务器是减少 Nobelium 攻击的关键,检查和阻止 ADFS 服务器上的恶意软件、攻击者活动和其他恶意组件可以破坏已知的 Nobelium 攻击链中的关键步骤。 用户应检查其 ADFS 服务器配置并实施更改以保护这些系统免受攻击。