據The hacker news消息，來自俄羅斯的Nobelium攻擊組織是2020年針對SolarWinds客戶攻擊的幕后主使。如今，Nobelium再次發起一波新的攻擊，已令多個云服務提供商(CSP)、管理服務提供商(MSP)和其他IT服務組織的14下游客戶造成損失。

這意味著，Nobelium攻擊者已經愛上了這種“攻擊一個，拿下一群”的供應鏈攻擊模式。

2021年10月25日，微軟披露了這一攻擊活動的細節，并表示自5月以來，微軟已經向140多家經銷商和供應商發出了警告。即便如此，7月1日-10月19日，Nobelium總共發起了22868次攻擊，涉及609企業。

[[431167]]

微軟副總裁Tom Burt稱，“這些攻擊活動還有另外一個目標，俄羅斯試圖建立一個系統性的供應鏈攻擊模式，并把它變成一個常態化機制，以便持續監視俄羅斯現在和未來感興趣的目標。”

值得一提的是，最新披露的這種攻擊并沒有利用軟件中既定的安全漏洞，而是使用各種攻擊技術，例如密碼噴灑攻擊、令牌盜竊、濫用API以及魚叉式釣魚等攻擊技術，來獲取供應商的特權賬戶和關聯憑證，使得攻擊者可以在云環境中橫向移動，以便進一步發動入侵。

微軟表示，Nobelium的攻擊目標已經十分明確：“Nobelium最終希望通過經銷商來直接訪問他們客戶的IT系統，并模擬組織受信任的技術合作伙伴，以此獲得訪問他們下游客戶的權限。

Nobelium的做法是“一招鮮吃遍天”，雖然它的攻擊手法靈活多變，但是其總體策略基本不變。該策略就是濫用服務提供商享有的信任關系，挖掘多個受害者的信息，獲取更多的情報和權限。因此微軟建議，企業應啟用多因素身份認證(MFA)和審計授權管理權限，防止攻擊者潛入并提高權限的行為。

最后，微軟還透露了一個消息，一個月前攻擊者們開發、部署了一個新的名為“FoggyWeb”的高價值的后門，可以為他們提供額外的有效負載，并且可以從活動目錄聯合服務器 (AD FS)中竊取敏感信息。