微软警告针对Active Directory FS服务器的FoggyWeb恶意软件

微软周一披露了去年12月SolarWinds供应链攻击背后的黑客组织部署的新恶意软件，用于提供额外的有效载荷，并从Active Directory Federation Services（AD FS）服务器窃取敏感信息

这家科技巨头的威胁情报中心（MSTIC）将其命名为“被动且高度针对性的后门”雾网，使其成为Nobelium在一长串网络武器中追踪到的最新威胁参与者，这些网络武器包括日暴、太阳黑子、雨滴、泪滴、GoldMax、GoldFinder、Sibot、Flippop、NativeZone、EnvyScout、BoomBox、，还有蒸汽

“一旦Nobelium获得证书并成功破坏服务器，参与者就依靠这种访问来保持持久性，并使用复杂的恶意软件和工具加深其渗透，”MSTIC研究人员说。“Nobelium使用FoggyWeb远程过滤受损AD FS服务器的配置数据库、解密的令牌签名证书和令牌解密证书，以及下载和执行其他组件。”

微软说，它早在2021年4月就在野外观察到FoGyweb，将植入物描述为“恶意内存驻留DLL”。

Nobelium是该公司为民族国家黑客组织分配的名字，该组织被广泛称为APT29、公爵或舒适熊—；俄罗斯对外情报局(SVR)和"8212"的高级持续威胁;；据信是2020年12月曝光的针对太阳林的大规模袭击的幕后主使。这场战役背后的对手也受到了各种代号的监控，比如UNC2452（火眼）、SolarStorm（42单元）、StellarParticle（众击）、Dark Halo（Volexity）和Iron Ristice（Secureworks）

“保护AD FS服务器是缓解Nobelium攻击的关键，”研究人员说。“检测并阻止AD FS服务器上的恶意软件、攻击者活动和其他恶意工件，可以打破已知Nobelium攻击链中的关键步骤。客户应查看其AD FS服务器配置并实施更改，以保护这些系统免受攻击。”