Nobelium APT 攻击者使用的 FoggyWeb 恶意软件

2021 年最大的网络犯罪活动之一是针对 SolarWinds 软件供应商的供应链攻击。它背后的团队，Nobelium APT，仍然很活跃。他们正在开发不同类型的恶意软件，并试图利用各种面向 Internet 的 Web 应用程序。他们的最新目标之一似乎是 Active Directory 联合身份验证服务 (AD FS)——在这些攻击中，犯罪分子正在使用一种名为 FoggyWeb 的新自定义恶意软件。

除了用作后开发工具外，FoggyWeb 恶意软件还可以在黑客想要从受感染系统收集凭据时派上用场。被盗凭据通常用于利用和感染更多 AD FS 服务器。据称，FoggyWeb 恶意软件自 2021 年 4 月以来一直活跃。但其活动在过去几个月中迅速增加。

FoggyWeb 恶意软件专注于窃取凭据

这种威胁似乎被用于针对性很强的攻击，犯罪分子很可能对其未来的行动有更大的计划。这种威胁就像一个后门木马，它悄悄地从受感染的服务器收集和窃取数据。虽然其主要关注点是登录凭据，但植入物也可能窃取特定文件或其他信息。此外，它支持范围广泛的远程命令，攻击者可以通过他们的命令和控制服务器执行这些命令。到目前为止，FoggyWeb 恶意软件似乎是一个后门，其唯一目的是感染 AD FS 服务器。当然，Nobelium 黑客有可能在未来对其进行修改以针对其他环境和服务。

SolarWinds 黑客很可能依靠巧妙设计的电子邮件鱼叉式网络钓鱼活动来传送有效载荷。 2021 年 5 月，他们冒充美国国际开发署就是这种情况。当然，知名 APT 参与者使用的恶意软件传播策略不断发展。如果他们也选择探索其他技术，也就不足为奇了。