微软警告Nobelium黑客组织将继续进行供应链攻击

Nobelium是2020年12月SolarWinds妥协案背后的威胁参与者，他一直在策划一波持续不断的攻击，这些攻击损害了多个云服务提供商（CSP）、托管服务提供商（MSP）和其他IT服务组织的14个下游客户，通过“从一个妥协到多个妥协”的方法，说明对手对供应链目标的持续兴趣。

微软周一公布了此次活动的细节，称自5月以来已通知140多家经销商和技术服务提供商。在7月1日和2021年10月19日之间，据说诺贝尔奖已经选出了609名客户，他们总共被攻击了22868次。

汤姆·伯特说：“最近的这项活动是另一个迹象，表明俄罗斯正试图长期、系统地进入技术供应链的各个环节，并建立一种机制，对俄罗斯政府感兴趣的目标进行监控。”，微软公司负责客户安全和信任的副总裁。

新披露的攻击没有利用软件中的任何特定安全漏洞，而是利用各种技术，如密码喷洒、令牌盗窃、API滥用和鱼叉式网络钓鱼来窃取与服务提供商特权帐户相关的凭据，使攻击者能够在云环境中横向移动并发起进一步的入侵。

根据微软的说法，目标似乎是“Nobelium最终希望借助分销商对其客户IT系统的任何直接访问，并更轻松地模拟一个组织值得信赖的技术合作伙伴，以获得对其下游客户的访问。”

如果说有什么区别的话，这些攻击是Nobelium经常重复的策略的另一种表现。人们发现，Nobelium滥用服务提供商享有的信任关系，为了获取情报而挖洞挖掘多个利益受害者。作为缓解措施，该公司建议公司启用多因素身份验证（MFA）和审计委派管理权限（DAP），以防止任何潜在的提升权限滥用。

在这家科技巨头披露了黑客组织部署的一个名为“FoggyWeb”的新的被动且具有高度针对性的后门后不到一个月，这项开发就实现了。该后门被部署用于提供额外的有效载荷，并从Active Directory Federation Services（AD FS）服务器窃取敏感信息。