Nobelium駭客組織是去年針對 SolarWinds 的 Orion 軟體的大規模供應鏈攻擊的幕後黑手。從那以後,微軟持續追踪Nobelium攻擊的活動,其中包括在 5 月份冒充美國國際開發署 (US Agency for International Development ; USAID) 的電子郵件活動。最近,微軟威脅情報中心 (MSTIC) 表示,Nobelium組織使用名為 FoggyWeb 的新型惡意軟體,用於盜竊憑證來獲得對 AD FS 伺服器的管理員級別的存取權限。微軟表示早於2021 年 4 月,已發現FoggyWeb後門的蹤跡,並已通知了觀察到成為目標或受到威脅的客戶。
FoggyWeb 是一種針對性強的後門,允許濫用SAML token,並為參與者定義的 URI 配置 HTTP 偵聽器,以攔截發送到與自定義 URI 模式匹配的AD FS 伺服器的 GET/POST 請求,從而從受感染的 AD FS伺服器中遠端竊取敏感數據。它還可以從C2伺服器接收其他惡意命令,並在受害者的伺服器上執行它們。微軟說,Nobelium利用FoggyWeb後門遠端滲透受感染的 AD FS 伺服器中的配置數據庫、解密的Token-Signing 憑證和Token-Decryption憑證,以及下載和執行其他組件。
微軟提供有關FoggyWeb的入侵指標Indicators of compromise (IOCs):