攻击SolarWinds的骇客再涉入2起后门程式感染行动

去年底透过软件供应链在微软、FireEye及10多个美国联邦-机关植入后门程式的骇客组织，近日又被发现蠢蠢欲动，接连发动攻击，在受害服务器上植入后门程式FoggyWeb及Tomiris，以长期渗透或窃取资料。

去年底一个骇客组织借由包括美国商务部、财政部及FireEye、微软等众多组织，所使用的IT管理平台SolarWinds Orion骇入其客户网络。这波攻击背后的骇客组织，据信是和俄罗斯-支持的Nobelium，又称Cozy Bear、The Dukes或APT 29有关。它利用Orion的更新平台下载后门程式，包括Supernova及Sunburst等到用户网络上。

本周微软及卡巴斯基安全研究人员分别发现两个后门程式感染行动，且不约而同指向Nobelium。

首先是微软威胁情报中心发现，Nobelium锁定微软Active Directory Federation Services (AD FS)服务器，在取得流出的用户登入凭证后，就在AD FS服务器内植入永久性的后门程式FoggyWeb。

图片来源_微软

FoggyWeb是一个“后开采”被动式后门程式，具高度目标性。在受害系统中，它滥用SAML（Security Assertion Markup Language）令牌，以拦截进出Active Directory Federation Services (AD FS)服务器的流量。微软相信，攻击者利用FoggyWeb从受害服务器中窃取用户登入账密、组态数据库、解密令牌(token)的签章凭证，并下载其他元件，像是进入内存中的恶意DLL。之后的行动可能包括执行恶意下载、接收C&C服务器的指令，或是监控对内流量，拦截任何想知道的对象通讯内容。

微软分析研判FoggyWeb今年4月初就被用于攻击活动。微软已通知所有遭到锁定或已被骇入的客户。不过微软并未说明感染机器情形，或是分布范围等。

卡巴斯基则是在今年6月于DNS劫持的攻击中发现Tomiris。它的某些特征和今年5月发现的Sunshuttle后门程式很像。Sunshuttle属于SolarWinds Orion平台被植入的Sunburst后门变种，因此卡巴斯基推测Tomiris也源于Nobelium。

安全公司发现Tomiris是在去年12月到今年1月间，感染独立国家联合体（后苏联时代成立的9个国家）地区。骇客如何劫持受害者的DNS服务器尚不得而知，推测可能是取得受害者使用的网域注册机构的管理控制台凭证。

一旦劫持DNS解析器成功，受害者的邮件服务器流量会被重导引到骇客控制的网域，并透过假的登入页，诱使用户输入账密，少部分引诱用户下载Tomiris后门程式。

图片来源_卡巴斯基

Tomiris和Sunshuttle一样，一经植入用户电脑就会持续和外部C&C服务器连线以下载之后的恶意程式，以在受害者网络上长期渗透。研究人员另外发现Tomiris变种还会寻找特定档案类型，如.doc、.PDF、.rar等上传外部服务器。

卡巴斯基在感染Tomiris的网络上发现另一只后门程式Kazuar，至于两波感染是因果关系、个别发生，或是和Nobelium有没关系尚则无法确定。