Nobelium APT 攻擊者使用的 FoggyWeb 惡意軟件

2021 年最大的網絡犯罪活動之一是針對 SolarWinds 軟件供應商的供應鏈攻擊。它背後的團隊，Nobelium APT，仍然很活躍。他們正在開發不同類型的惡意軟件，並試圖利用各種面向 Internet 的 Web 應用程序。他們的最新目標之一似乎是 Active Directory 聯合身份驗證服務 (AD FS)——在這些攻擊中，犯罪分子正在使用一種名為 FoggyWeb 的新自定義惡意軟件。

除了用作後開發工具外，FoggyWeb 惡意軟件還可以在黑客想要從受感染系統收集憑據時派上用場。被盜憑據通常用於利用和感染更多 AD FS 服務器。據稱，FoggyWeb 惡意軟件自 2021 年 4 月以來一直活躍。但其活動在過去幾個月中迅速增加。

FoggyWeb 惡意軟件專注於竊取憑據

這種威脅似乎被用於針對性很強的攻擊，犯罪分子很可能對其未來的行動有更大的計劃。這種威脅就像一個後門木馬，它悄悄地從受感染的服務器收集和竊取數據。雖然其主要關注點是登錄憑據，但植入物也可能竊取特定文件或其他信息。此外，它支持範圍廣泛的遠程命令，攻擊者可以通過他們的命令和控制服務器執行這些命令。到目前為止，FoggyWeb 惡意軟件似乎是一個後門，其唯一目的是感染 AD FS 服務器。當然，Nobelium 黑客有可能在未來對其進行修改以針對其他環境和服務。

SolarWinds 黑客很可能依靠巧妙設計的電子郵件魚叉式網絡釣魚活動來傳送有效載荷。 2021 年 5 月，他們冒充美國國際開發署就是這種情況。當然，知名 APT 參與者使用的惡意軟件傳播策略不斷發展。如果他們也選擇探索其他技術，也就不足為奇了。