《電子技術(shù)應(yīng)用》
您所在的位置:首頁 > 通信與網(wǎng)絡(luò) > 業(yè)界動態(tài) > 犯罪分子冒充美國國際開發(fā)署進行網(wǎng)絡(luò)釣魚攻擊

犯罪分子冒充美國國際開發(fā)署進行網(wǎng)絡(luò)釣魚攻擊

2021-06-03
來源:嘶吼專業(yè)版

  臭名昭著的SolarWinds攻擊背后的網(wǎng)絡(luò)犯罪集團再次發(fā)動了一場大規(guī)模的復(fù)雜的電子郵件攻擊活動,郵件中帶有有效載荷的惡意URL,這樣使得攻擊者能夠進行進一步的攻擊活動。

  微軟威脅情報中心(MSTIC)于1月下旬開始跟蹤Nobelium(以前稱為Solarigate)的這一最新的攻擊活動。根據(jù)微軟365防御者威脅情報小組的一篇博文稱,當時該團伙還處于偵察階段,并且觀察到它 “一直在發(fā)生演變”。

  周二,研究人員開始觀察到這一攻擊行為已經(jīng)開始升級,因為威脅攻擊集團開始偽裝成一個總部設(shè)在美國的開發(fā)組織,使用合法的群發(fā)郵件服務(wù)Constant Contact傳播包含惡意的URLs的電子郵件。攻擊者的目標是各行各業(yè)的組織。

  除了極具破壞性的SolarWinds事件外,Nobelium還是Sunburst后門、Teardrop惡意軟件和GoldMax惡意軟件背后的攻擊組織。該組織歷來以各種社會組織為攻擊目標,包括政府機構(gòu)、非政府組織、智囊團、軍隊、IT服務(wù)提供商、衛(wèi)生技術(shù)和研究公司及團體,以及電信供應(yīng)商。

  最新的攻擊活動正在進行中,攻擊目標是150多個組織的3000個個人賬戶,研究人員說:“犯罪團伙會采用一種既定的模式,然后為每個目標使用不同的基礎(chǔ)設(shè)施和攻擊工具,使得他們能夠在較長的時間內(nèi)不被發(fā)現(xiàn)”。

  在SolarWinds攻擊中,Nobelium通過將木馬偽裝成軟件更新服務(wù)向全球近18000個組織推送定制的Sunburst后門,從而能夠成功感染目標。通過這種方式,2020年3月就一直在進行的攻擊直到12月也仍未被發(fā)現(xiàn),這使得攻擊者有更多的時間進一步滲透該組織,并導(dǎo)致了一場很嚴重的網(wǎng)絡(luò)間諜活動,這大大影響了美國政府和科技公司的信息安全。

  他們說,那次攻擊和這次最新的攻擊活動之間有一些關(guān)鍵的區(qū)別,研究人員將其歸因于 “攻擊人員的技術(shù)的改變”。

  一直在變化的戰(zhàn)術(shù)

  MSTIC觀察到Nobelium在其最新的攻擊過程中多次改變攻擊的策略。在完成最初的偵察之后,該組織從2月到4月就發(fā)動了一系列的魚叉式網(wǎng)絡(luò)釣魚活動,他們的目的是為了通過電子郵件中的HTML附件來入侵系統(tǒng)。

  據(jù)研究人員觀察,在這幾個月中,該組織對電子郵件和HTML文件以及感染受害者機器的方式都進行了修改。

  最初,在目標用戶打開惡意文件后,HTML中的JavaScript會將一個ISO文件寫入磁盤并指導(dǎo)用戶打開它。研究人員說,這將實現(xiàn)ISO文件的掛載,而其中一個快捷方式文件(LNK)將執(zhí)行一個附帶的DLL文件,從而使得Cobalt Strike Beacon在系統(tǒng)中執(zhí)行。

  在4月份的更新迭代中,Nobelium從Firebase中刪除了ISO文件,而將其編碼在HTML文檔中;將HTML文檔重定向到包含RTF文檔的ISO文件中,該文檔中編碼了惡意的Cobalt Strike Beacon DLL。

  研究人員說,該攻擊活動在5月份開始變得很頻繁,當時該組織開始利用Constant Contact針對150多個組織的大約3000個個人賬戶進行攻擊。

  研究人員指出:“最近由于大量的攻擊活動,安全系統(tǒng)阻止了大部分的電子郵件,并將它們標記為了垃圾郵件?!比欢?,該系統(tǒng)可能在早期已經(jīng)將一些的電子郵件傳遞給了收件人。

  使用郵件群發(fā)服務(wù)

  研究人員指出,正是在攻擊的這一階段,Nobelium開始冒充一個名為美國國際開發(fā)署(USAID)的組織,并成功偽造成了一個與標準Constant Contact服務(wù)一樣的發(fā)件人電子郵件地址。每個收件人的地址都不一樣,并且都以 < @in.constantcontact.com > 結(jié)尾,回復(fù)地址為 < mhillary@usaid.gov >。

  這些郵件聲稱是美國國際開發(fā)署發(fā)出的警報,內(nèi)容是前總統(tǒng)唐納德-特朗普公布的有關(guān) “選舉作弊 ”的文件,特朗普聲稱這些行為導(dǎo)致他在2020年選舉中輸給了總統(tǒng)喬-拜登。

  據(jù)研究人員稱,如果用戶點擊了電子郵件上的鏈接,該URL將引導(dǎo)他們進入到合法的Constant Contact服務(wù),然后通過一個提供惡意ISO文件的URL重定向到了Nobelium控制的基礎(chǔ)設(shè)施。

  研究人員指出:“ 點擊LNK文件時最終會執(zhí)行‘C :\ W i n d o w s \ s y s t e m 3 2 \ rundll32.exe ,這些有效載荷的成功部署使 Nobelium 能夠?qū)Ρ还粝到y(tǒng)的持久性訪問”。

  他們補充說,這種持久性也使該組織能夠進行進一步的惡意攻擊,如橫向移動、數(shù)據(jù)滲出和投放惡意軟件等活動。

  MSTIC推薦了一些應(yīng)對該攻擊活動的措施,這些方法可以幫助組織識別它是否會成為攻擊目標或其系統(tǒng)是否存在潛在的被感染的風(fēng)險。




電子技術(shù)圖片.png


本站內(nèi)容除特別聲明的原創(chuàng)文章之外,轉(zhuǎn)載內(nèi)容只為傳遞更多信息,并不代表本網(wǎng)站贊同其觀點。轉(zhuǎn)載的所有的文章、圖片、音/視頻文件等資料的版權(quán)歸版權(quán)所有權(quán)人所有。本站采用的非本站原創(chuàng)文章及圖片等內(nèi)容無法一一聯(lián)系確認版權(quán)者。如涉及作品內(nèi)容、版權(quán)和其它問題,請及時通過電子郵件或電話通知我們,以便迅速采取適當措施,避免給雙方造成不必要的經(jīng)濟損失。聯(lián)系電話:010-82306118;郵箱:aet@chinaaet.com。