微軟警告說SolarWinds 事件的攻擊者Nobelium,利用一個名為“FoggyWeb” 的後門針對性攻擊 AD FS伺服器

惡意後門可竊取Windows domains的敏感數據

微軟的報告稱, Nobelium 正在使用一種新開發的後門,該後門能夠從受感染的Active Directory 同盟服務(Active Directory Federated Services,AD FS)伺服器中竊取敏感數據。

FoggyWeb後門通訊的示意圖(Photo credit:微軟)

Nobelium駭客組織是去年針對 SolarWinds 的 Orion 軟體的大規模供應鏈攻擊的幕後黑手。從那以後,微軟持續追踪Nobelium攻擊的活動,其中包括在 5 月份冒充美國國際開發署 (US Agency for International Development ; USAID) 的電子郵件活動。最近,微軟威脅情報中心 (MSTIC) 表示,Nobelium組織使用名為 FoggyWeb 的新型惡意軟體,用於盜竊憑證來獲得對 AD FS 伺服器的管理員級別的存取權限。微軟表示早於2021 年 4 月,已發現FoggyWeb後門的蹤跡,並已通知了觀察到成為目標或受到威脅的客戶。

FoggyWeb 是一種針對性強的後門,允許濫用SAML token,並為參與者定義的 URI 配置 HTTP 偵聽器,以攔截發送到與自定義 URI 模式匹配的AD FS 伺服器的 GET/POST 請求,從而從受感染的 AD FS伺服器中遠端竊取敏感數據。它還可以從C2伺服器接收其他惡意命令,並在受害者的伺服器上執行它們。微軟說,Nobelium利用FoggyWeb後門遠端滲透受感染的 AD FS 伺服器中的配置數據庫、解密的Token-Signing 憑證和Token-Decryption憑證,以及下載和執行其他組件。

微軟提供有關FoggyWeb的入侵指標Indicators of compromise (IOCs):