《電子技術(shù)應(yīng)用》
您所在的位置:首頁 > 通信與網(wǎng)絡(luò) > 業(yè)界動態(tài) > SolarWinds事件背后的攻擊者“卷土重來”,24個國家150多個組織被釣魚

SolarWinds事件背后的攻擊者“卷土重來”,24個國家150多個組織被釣魚

2021-06-01
來源:關(guān)鍵基礎(chǔ)設(shè)施安全應(yīng)急響應(yīng)中心
關(guān)鍵詞: SolarWinds

  5月28日下午,微軟威脅情報中心(MSTIC)發(fā)現(xiàn),SolarWinds事件背后的攻擊者正在進(jìn)行一場針對全球政府機(jī)構(gòu)的網(wǎng)絡(luò)釣魚運動。

  MSTIC透露:“本周,我們觀察到了黑客組織Nobelium針對政府機(jī)構(gòu)、智庫、顧問和非政府組織的網(wǎng)絡(luò)攻擊?!?/p>

  這波攻擊針對150多個不同組織的大約3000個電子郵件賬戶?!半m然美國的組織受到的攻擊最多,但目標(biāo)受害者遍及至少24個國家?!?/p>

  微軟追蹤此次的攻擊者為黑客組織Nobelium,也是此前微軟認(rèn)定的SolarWinds事件的攻擊者,背后可能是俄羅斯政府支持。

  該組織使用美國國際開發(fā)署(USAID)的Constant Contact賬戶(一種合法的電子郵件營銷服務(wù))發(fā)送了這些釣魚郵件。

  微信圖片_20210601155201.jpg

       冒充美國國際開發(fā)署的釣魚郵件

  該活動始于2021年1月,慢慢演變成一系列攻擊,上周以美國國際開發(fā)署為主題的網(wǎng)絡(luò)釣魚浪潮達(dá)到高潮。

  網(wǎng)絡(luò)安全公司Volexity也發(fā)布了一份報告,將這次網(wǎng)絡(luò)釣魚活動與俄羅斯外國情報機(jī)構(gòu)(SVR)的運營商(追蹤為APT29、Cozy Bear和The Dukes)聯(lián)系在一起,這些網(wǎng)絡(luò)釣魚活動使用的戰(zhàn)術(shù)可以追溯到2018年。

  Nobelium的感染鏈和惡意軟件傳遞技術(shù)在整個攻擊過程中不斷發(fā)展,通過包含HTML附件的魚叉式釣魚信息將一個ISO文件放入受害者的硬盤。

  在受害者掛載ISO后,他們被鼓勵打開包含在其中的文件(LNK快捷方式或RTF文檔),這將執(zhí)行一個DLL捆綁在文件或存儲在ISO映像中,在系統(tǒng)上加載鈷打擊信標(biāo)。

  微軟表示:“如果目標(biāo)設(shè)備是蘋果iOS設(shè)備,用戶會被重定向到Nobelium控制下的另一臺服務(wù)器,利用當(dāng)時的CVE-2021-1879分發(fā)代碼漏洞利用?!?/p>

  微軟補(bǔ)充說:“這些有效載荷的成功部署使Nobelium能夠持續(xù)訪問受威脅系統(tǒng)?!?“Nobelium利用惡意載荷對目標(biāo)采取橫向移動、數(shù)據(jù)泄露和傳遞額外等行動?!?/p>

  微軟的報告中闡述了攻擊期間觀察到的惡意行為、細(xì)節(jié),攻擊者動機(jī),以及抵御攻擊的最佳實踐。

  微信圖片_20210601155227.jpg

  HTML-ISO感染鏈

  微軟在報告中推測,Nobelium此次的攻擊是情報收集工作的一部分。這次攻擊之所以聲勢浩大原因有三。

  一是Nobelium的活動以及類似參與者的活動是獲得技術(shù)提供商的訪問權(quán)并感染客戶。

  二是Nobelium活動者通常會追蹤其所在國家/地區(qū)關(guān)注的問題。例如此次Nobelium的目標(biāo)是人權(quán)組織等。在疫情高峰期則是疫苗機(jī)構(gòu)和醫(yī)療機(jī)構(gòu),2019年則是體育和反興奮劑組織。

  三是來自民族國家的網(wǎng)絡(luò)攻擊并沒有放緩。

  新的博客文章中,微軟還提供了Nobelium在攻擊中使用的四個新惡意軟件家族的細(xì)節(jié)。

  這四個新系列包括一個名為 “EnvyScout”的HTML附件,一個名為 “BoomBox”的下載器,一個名為 “NativeZone”的加載器,以及一個名為 “VaporRage”的殼碼下載器和啟動器。

  去年12月,SolarWinds在一次網(wǎng)絡(luò)攻擊中被攻破,攻擊者針對該公司的客戶發(fā)起供應(yīng)鏈攻擊。

  SolarWinds供應(yīng)鏈攻擊背后的黑客組織被追蹤為Nobelium(微軟)、NC2452(火眼)、StellarParticle (CrowdStrike)、SolarStorm(Palo Alto Unit 42)和Dark Halo (Volexity)。

  美國政府正式指控俄羅斯外國情報局(Russian Foreign Intelligence Service),(被追蹤為APT29、The Dukes或Cozy Bear)的威脅行當(dāng),認(rèn)為是攻擊SolarWinds的組織在進(jìn)行“大范圍的網(wǎng)絡(luò)間諜活動”。

  微軟還在2月份表示,SolarWinds的黑客已經(jīng)下載了Azure、Intune和Exchange組件的有限數(shù)量的源代碼。

  


本站內(nèi)容除特別聲明的原創(chuàng)文章之外,轉(zhuǎn)載內(nèi)容只為傳遞更多信息,并不代表本網(wǎng)站贊同其觀點。轉(zhuǎn)載的所有的文章、圖片、音/視頻文件等資料的版權(quán)歸版權(quán)所有權(quán)人所有。本站采用的非本站原創(chuàng)文章及圖片等內(nèi)容無法一一聯(lián)系確認(rèn)版權(quán)者。如涉及作品內(nèi)容、版權(quán)和其它問題,請及時通過電子郵件或電話通知我們,以便迅速采取適當(dāng)措施,避免給雙方造成不必要的經(jīng)濟(jì)損失。聯(lián)系電話:010-82306118;郵箱:aet@chinaaet.com。