【安全资讯】SolarWinds幕后黑手Nobelium组织再次活跃，微软客户支持工具中招

6月25日，微软公司表示，由于一名微软客服人员的电脑被入侵，其部分客户支持工具被黑客组织Nobelium访问，该组织是SolarWinds事件的幕后黑手。该客服人员的访问权限有限能够看到客户使用的服务和他们的账单联系信息等内容，Nobelium可以通过窃取到的客户服务代理凭据获得访问权限，并对特定的微软客户进行 "高度针对性"的攻击。Nobelium黑客组织，也被称为APT29、Cozy Bear和The Dukes，被认为是最近SolarWinds供应链攻击的始作俑者。该组织已被美国政府认定为俄罗斯政府支持的组织。微软仍在对黑客所使用的方法和策略进行调查，目前已经发现了密码泼洒（Password Spraying）、暴力破解（Brute-Force）以及针对特定客户的信息窃取恶意软件。该黑客组织一直在进行密码暴力破解攻击，以获取对公司网络的访问权限。

攻击者通过使用密码暴力破解攻击，试图通过猜测密码获得对在线账户的未授权访问。在撞库攻击中，他们试图在多个账户中使用相同的密码尝试登录。而在暴力攻击中，一个账户被使用不同密码尝试的登录。微软还在一名微软客户支持人员的电脑上发现了一个窃取信息的木马程序，部分客户支持工具被黑客组织Nobelium访问，该程序提供了对小部分客户的 "基本账户信息 "的访问权限。 这些客户信息被用于针对微软客户的网络钓鱼攻击。

微软表示，通过渗透微软客户支援工具来攻击微软客户，只是Nobelium庞大攻击活动的一部分。该活动针对特定客户，主要是 IT 公司 (57%)，其次是政府 (20%)，非政府组织和智库以及金融服务的比例较小。且黑客的攻击目标分散在全球36个国家，当中有45%位于美国，10%位于英国，继之则是德国及加拿大。目前黑客绝大多数的攻击都未成功，迄今微软仅有3名用户遭到攻击，微软已移除了黑客的访问权限并通知了所有被攻击或已成为目标的客户。