Nobelium 最新的“魔法网络”技术

关键要点

微软研究人员发现，俄罗斯威胁组织 Nobelium 通过“魔法网络”技术保持对被攻陷环境的访问。Nobelium 仍然在进行多次攻击，目标包括美国、欧洲及中亚的多家政府相关组织和智库。“魔法网络”与2020年 SolarWinds 攻击不同，并非供应链攻击，而是一种利用已获得权限的后期发展技术。

微软的安全研究人员近日披露，负责 SolarWinds 攻击的威胁组织 Nobelium 能够通过其所称的“魔法网络”技术，在被攻陷的环境中保持运行。这一消息提醒我们，Nobelium 仍然高度活跃，并在针对多个国家的政府及智库进行多项攻击活动。微软威胁情报团队本周在其博客中发布了这一消息。

根据安全研究人员的分析，“魔法网络”很可能是在一个持续的攻击事件中被部署的，俄罗斯支持的该威胁组织使用这一技术来维持对系统的访问，尽管有尝试将其驱逐出系统的措施。

与2020年底曝光的SolarWinds案件不同，“魔法网络”并不是一种供应链攻击。

微软的研究人员表示，Nobelium 是在获取高权限凭证后，以横向移动的方式获取对 AD FS 系统的管理权限，然后用其自己的动态链接库 (DLL) 替换合法的 DLL 来实现“魔法网络”技术的部署。微软在一次事件响应调查中发现了这一后门。

微软指出，维持对被攻陷系统的访问对于 Nobelium 威胁行为者而言并不是新手段。去年，微软披露了一种名为 FoggyWeb 的后期开发能力，其操作方式与“魔法网络”类似。

FoggyWeb 是“能够从被攻陷的 AD FS 服务器中提取配置数据库、解密令牌签名证书以及下载和执行附加恶意软件组件”的工具。

除了具备与 FoggyWeb 相同的功能外，“魔法网络”还通过“操纵由活动目录联合服务 (AD FS) 服务器生成的令牌中的声明”直接实现隐蔽访问。它操控的是用于认证的用户认证证书，而不是用于像“金色 SAML”攻击中使用的签名证书。

‘MagicWeb’使诺贝尔ium威胁组能够持久访问被攻陷的系统媒体

安全团队应当参考微软的博客文章来了解如何降低“魔法网络”带来的风险，建议包括迁移到 Azure AD。