据黑客消息,来自俄罗斯的Nobelium攻击团伙是2020年对SolarWinds客户的攻击的幕后黑手。现在,Nobelium又发起新一波浪潮多起攻击事件,已给多家云服务提供商(CSP)、托管服务提供商(MSP)等IT服务机构的14家下游客户造成损失。这意味着Nobelium攻击者已经爱上了这种“打一个,打倒一堆”的供应链攻击模式。2021年10月25日,微软披露了此次攻击的细节,并表示自5月以来,微软已向140多家经销商和供应商发出警告。尽管如此,从7月1日到10月19日,Nobelium共发起了22868次攻击,涉及609家公司。微软副总裁汤姆·伯特表示,“这些攻击还有另一个目标。俄罗斯正试图建立系统的供应链攻击模式,并将其转变为常态化机制,以持续监控现在和未来俄罗斯感兴趣的目标。值得提到这次新披露的攻击并没有利用软件中已存在的安全漏洞,而是使用了各种攻击技术,例如密码喷射攻击、令牌盗窃、API滥用和鱼叉式网络钓鱼等攻击技术来获取特权帐户和相关凭据微软表示,Nobelium的攻击目标已经非常明确:“Nobelium最终希望通过经销商直接访问其客户的IT系统,并冒充该组织信任的技术合作伙伴以获得他们的下游客户。Nobelium的做法是“一招吃遍天下”。虽然其攻击手段灵活多变,但总体策略基本保持不变。这种策略是滥用服务提供者享有的信任关系,挖掘多个受害者的信息,获取更多的情报和权限。因此,微软建议企业开启多重身份验证(MFA)和审核授权管理权限,以防止攻击者潜入并提升权限。最后,微软还披露了一则消息,一个月前,攻击者开发并部署了一个名为“FoggyWeb”的新型高价值后门,可以为他们提供额外的有效载荷,并可以从ActiveDirectoryFederationServer(ADFS)中窃取敏感信息。
