APT恶意软件FoggyWeb针对微软AD域控FS服务器渗透攻击

微软披露了去年 12 月 SolarWinds 供应链攻击背后的黑客组织在最近部署的新恶意软件，目的是提供额外的攻击载荷并从 AD域控 FS 域控服务器中窃取敏感信息。

根据网络安全行业门户极牛网JIKENB.COM的梳理，一旦 Nobelium 获得凭据并成功入侵服务器，攻击者就会依靠该访问权限来维持权限，并使用复杂的恶意软件和黑客工具加深其渗透。Nobelium 使用 FoggyWeb 远程渗透受感染 AD FS 服务器的配置数据库、解密的令牌签名证书和令牌解密证书，以及下载和执行其他组件。

微软表示，它早在 2021 年 4 月就在野观察到 FoggyWeb，将恶意程序样本描述为“恶意内存驻留 DLL”。Nobelium 是该公司分配给民族国家黑客组织的绰号，该组织被广泛称为APT29、The Dukes 或 Cozy Bear，已归因于俄罗斯情报局，并被认为是SolarWinds的幕后黑手。

根据网络安全行业门户极牛网JIKENB.COM的梳理，FoggyWeb 使用加载程序通过利用一种称为DLL 搜索顺序劫持的技术进行安装，能够从受感染的 AD FS 服务器传输敏感信息，以及接收和执行从远程攻击者控制的服务器检索的其他恶意负载。它还被设计为监视从内网或互联网发送到服务器的所有传入 HTTP GET 和 POST 请求，并拦截黑客感兴趣的 HTTP 请求。

安全研究人员称，保护 AD FS 服务器是减轻 Nobelium 攻击的关键，检测和阻止 AD FS 服务器上的恶意软件、攻击者活动和其他恶意组件，可以破坏已知 Nobelium 攻击链中的关键步骤。用户应该检查他们的 AD FS 服务器配置并实施更改以保护这些系统免受攻击。