Nobelium 最新的“魔法网络”技术

关键要点

微软的安全研究人员近日披露，负责 SolarWinds 攻击的威胁组织 Nobelium能够通过其所称的“魔法网络”技术，在被攻陷的环境中保持运行。这一消息提醒我们，Nobelium仍然高度活跃，并在针对多个国家的政府及智库进行多项攻击活动。本周在其博客中发布了这一消息。

根据安全研究人员的分析，“魔法网络”很可能是在一个持续的攻击事件中被部署的，俄罗斯支持的该威胁组织使用这一技术来维持对系统的访问，尽管有尝试将其驱逐出系统的措施。

与2020年底曝光的不同，“魔法网络”并不是一种供应链攻击。

微软的研究人员表示，Nobelium 是在获取高权限凭证后，以横向移动的方式获取对 AD FS 系统的管理权限，然后用其自己的动态链接库 (DLL)
替换合法的 DLL 来实现“魔法网络”技术的部署。微软在一次事件响应调查中发现了这一后门。

微软指出，维持对被攻陷系统的访问对于 Nobelium 威胁行为者而言并不是新手段。去年，微软披露了一种名为 FoggyWeb的后期开发能力，其操作方式与“魔法网络”类似。

是“能够从被攻陷的 AD FS服务器中提取配置数据库、解密令牌签名证书以及下载和执行附加恶意软件组件”的工具。

除了具备与 FoggyWeb 相同的功能外，“魔法网络”还通过“操纵由活动目录联合服务 (AD FS)
服务器生成的令牌中的声明”直接实现隐蔽访问。它操控的是用于认证的用户认证证书，而不是用于像“金色 SAML”攻击中使用的签名证书。

安全团队应当参考来了解如何降低“魔法网络”带来的风险，建议包括迁移到 Azure AD。