據(jù)The hacker news消息，來自俄羅斯的Nobelium攻擊組織是2020年針對(duì)SolarWinds客戶攻擊的幕后主使。如今，Nobelium再次發(fā)起一波新的攻擊，已令多個(gè)云服務(wù)提供商(CSP)、管理服務(wù)提供商(MSP)和其他IT服務(wù)組織的14下游客戶造成損失。

這意味著，Nobelium攻擊者已經(jīng)愛上了這種“攻擊一個(gè)，拿下一群”的供應(yīng)鏈攻擊模式。

2021年10月25日，微軟披露了這一攻擊活動(dòng)的細(xì)節(jié)，并表示自5月以來，微軟已經(jīng)向140多家經(jīng)銷商和供應(yīng)商發(fā)出了警告。即便如此，7月1日-10月19日，Nobelium總共發(fā)起了22868次攻擊，涉及609企業(yè)。

[[431167]]

微軟副總裁Tom Burt稱，“這些攻擊活動(dòng)還有另外一個(gè)目標(biāo)，俄羅斯試圖建立一個(gè)系統(tǒng)性的供應(yīng)鏈攻擊模式，并把它變成一個(gè)常態(tài)化機(jī)制，以便持續(xù)監(jiān)視俄羅斯現(xiàn)在和未來感興趣的目標(biāo)。”

值得一提的是，最新披露的這種攻擊并沒有利用軟件中既定的安全漏洞，而是使用各種攻擊技術(shù)，例如密碼噴灑攻擊、令牌盜竊、濫用API以及魚叉式釣魚等攻擊技術(shù)，來獲取供應(yīng)商的特權(quán)賬戶和關(guān)聯(lián)憑證，使得攻擊者可以在云環(huán)境中橫向移動(dòng)，以便進(jìn)一步發(fā)動(dòng)入侵。

微軟表示，Nobelium的攻擊目標(biāo)已經(jīng)十分明確：“Nobelium最終希望通過經(jīng)銷商來直接訪問他們客戶的IT系統(tǒng)，并模擬組織受信任的技術(shù)合作伙伴，以此獲得訪問他們下游客戶的權(quán)限。

Nobelium的做法是“一招鮮吃遍天”，雖然它的攻擊手法靈活多變，但是其總體策略基本不變。該策略就是濫用服務(wù)提供商享有的信任關(guān)系，挖掘多個(gè)受害者的信息，獲取更多的情報(bào)和權(quán)限。因此微軟建議，企業(yè)應(yīng)啟用多因素身份認(rèn)證(MFA)和審計(jì)授權(quán)管理權(quán)限，防止攻擊者潛入并提高權(quán)限的行為。

最后，微軟還透露了一個(gè)消息，一個(gè)月前攻擊者們開發(fā)、部署了一個(gè)新的名為“FoggyWeb”的高價(jià)值的后門，可以為他們提供額外的有效負(fù)載，并且可以從活動(dòng)目錄聯(lián)合服務(wù)器 (AD FS)中竊取敏感信息。