微軟發出警告:Nobelium 勒索組織將持續進行供應鏈攻擊
據The hacker news消息,來自俄羅斯的Nobelium攻擊組織是2020年針對SolarWinds客戶攻擊的幕后主使。如今,Nobelium再次發起一波新的攻擊,已令多個云服務提供商(CSP)、管理服務提供商(MSP)和其他IT服務組織的14下游客戶造成損失。
這意味著,Nobelium攻擊者已經愛上了這種“攻擊一個,拿下一群”的供應鏈攻擊模式。
2021年10月25日,微軟披露了這一攻擊活動的細節,并表示自5月以來,微軟已經向140多家經銷商和供應商發出了警告。即便如此,7月1日-10月19日,Nobelium總共發起了22868次攻擊,涉及609企業。
微軟副總裁Tom Burt稱,“這些攻擊活動還有另外一個目標,俄羅斯試圖建立一個系統性的供應鏈攻擊模式,并把它變成一個常態化機制,以便持續監視俄羅斯現在和未來感興趣的目標。”
值得一提的是,最新披露的這種攻擊并沒有利用軟件中既定的安全漏洞,而是使用各種攻擊技術,例如密碼噴灑攻擊、令牌盜竊、濫用API以及魚叉式釣魚等攻擊技術,來獲取供應商的特權賬戶和關聯憑證,使得攻擊者可以在云環境中橫向移動,以便進一步發動入侵。
微軟表示,Nobelium的攻擊目標已經十分明確:“Nobelium最終希望通過經銷商來直接訪問他們客戶的IT系統,并模擬組織受信任的技術合作伙伴,以此獲得訪問他們下游客戶的權限。
Nobelium的做法是“一招鮮吃遍天”,雖然它的攻擊手法靈活多變,但是其總體策略基本不變。該策略就是濫用服務提供商享有的信任關系,挖掘多個受害者的信息,獲取更多的情報和權限。因此微軟建議,企業應啟用多因素身份認證(MFA)和審計授權管理權限,防止攻擊者潛入并提高權限的行為。
最后,微軟還透露了一個消息,一個月前攻擊者們開發、部署了一個新的名為“FoggyWeb”的高價值的后門,可以為他們提供額外的有效負載,并且可以從活動目錄聯合服務器 (AD FS)中竊取敏感信息。
