微软警告:SolarWinds事件背后的攻击者正在针对全球政府机构进行网络钓鱼。MSTIC透露:“本周,我们观察到黑客组织Nobelium针对政府机构、智库、顾问和非政府组织发起的网络攻击。”该攻击针对150多个不同组织的大约3,000个电子邮件帐户。“虽然美国的组织受到的攻击最多,但目标受害者至少在24个国家。”微软此次追踪到攻击者为黑客组织Nobelium,这也是微软此前认定的SolarWinds事件的攻击者,可能得到了俄罗斯政府的支持。.该组织使用合法的电子邮件营销服务USAIDConstantContact帐户发送网络钓鱼电子邮件。冒充美国国际开发署的钓鱼邮件该活动始于2021年1月,慢慢演变为一系列攻击,最终在上周以美国国际开发署为主题的网络钓鱼浪潮中达到高潮。网络安全公司Volexity还发布了一份报告,将此网络钓鱼活动与俄罗斯外国情报服务(SVR)的运营商联系起来,这些运营商被追踪为APT29、CozyBear和TheDukes,使用的策略可追溯到2018年。Nobelium的感染链和恶意软件交付技术不断发展在整个攻击过程中,通过包含HTML附件的鱼叉式网络钓鱼消息将ISO文件放到受害者的硬盘上。在受害者挂载ISO后,他们被鼓励打开其中包含的文件(LNK快捷方式或RTF文档),该文件会执行与文件捆绑或存储在ISO映像中的DLL,从而在系统上加载CobaltStrikeBeacon。微软表示:“如果目标设备是AppleiOS设备,用户将被重定向到Nobelium控制下的另一台服务器,该服务器使用当时的CVE-2021-1879分发代码漏洞。”微软补充说:“这些有效载荷的成功部署使Nobelium能够保持对受感染系统的持续访问。”“Nobelium利用恶意负载采取横向移动、数据泄露和针对目标的额外行动等行动。”微软的报告列出了攻击期间观察到的恶意行为、详细信息、攻击者动机以及防御攻击的最佳实践。HTML-ISO感染链微软在报告中推测,Nobelium的攻击是情报收集工作的一部分。此次攻击规模巨大,原因有以下三个:一是Nobelium的活动以及类似参与者的活动是关于获取供应商和感染客户。第二个是诺贝尔奖活动家通常会追踪他们本国关注的问题。比如这次Nobelium的目标是人权组织。疫情高峰时是疫苗机构和医疗机构,2019年是体育和反兴奋剂组织。第三是来自民族国家的网络攻击并未放缓。在一篇新的博客文章中,微软还提供了Nobelium在其攻击中使用的四个新恶意软件家族的详细信息。这四个新系列包括一个名为“EnvyScout”的HTML插件、一个名为“BoomBox”的下载器、一个名为“NativeZone”的加载器以及一个名为“VaporRage”的shellcode下载器和启动器。去年12月,SolarWinds在一次网络攻击中遭到破坏,攻击者通过供应链攻击将公司的客户作为目标。SolarWinds供应链攻击背后的黑客组织被追踪为Nobelium(Microsoft)、NC2452(FireEye)、StellarParticle(CrowdStrike)、SolarStorm(PaloAltoUnit42)和DarkHalo(Volexity)。美国政微软在2月份还表示,SolarWinds黑客已经为Azure、Intune和Exchange组件下载了数量有限的源代码。
