SolarWinds 攻击者开发的新后门 FoggyWeb

 聚焦源代码安全，网罗国内外最新资讯！

编译：代码卫士

该恶意软件被称为 “FoggyWeb”，在2021年4月左右已经在使用，可使Nobelium (即APT29) 从受陷服务器中窃取信息并接收和执行其它恶意代码。

AD FS 使本地服务器，支持用于微软环境中的云应用程序的单点登录 (SSO)。因此，它们备受窃取敏感信息的数据盗贼青睐。

微软的高级软件安全工程师 Ramin Nafisi 解释称，“Nobelium 获得凭据并成功攻陷服务器后，恶意人员凭借该访问权限维护持久性并使用复杂的恶意软件和g哦你根据加深其渗透能力。Nobelium 利用 FoggyWeb 远程提取受陷 AD FS 服务器的配置服务器、解密的令牌签名证书和令牌解密证书，并下载和执行其它组件。”

微软目前正在通知所有客户称他们已遭恶意软件攻击，同时督促怀疑自己可能是受害者的其他客户审计整个本地和云基础设施，查找威胁人员可能为维护持久性做出的变更。“

微软还建议组织机构删除用户和app的访问权限，发放新的、强大的凭据。他们还应使用硬件安全模块 (HSM) 阻止 FoggyWeb 窃取敏感信息。Nafisi 给出了加固和保护 AD FS 部署安全的多种技术，包括限制管理员权限、部署多因素认证机制、删除不必要的协议和 Windows 特性，将 AD FS 日志发送给 SIEM，并使用超过25个字符的复杂密码。

SolarWinds 攻击者一直在构建工具集。继攻击中使用的 Sunburst 后门和 Teardrop 恶意软件外，他们还开发出 GoldMax、GoldFinder 和 Sibot 恶意软件实现层级持久性和 EnvyScout、BoomBox、NativeZone 和 VaporRage 用于早期感染阶段。