臭名昭著的SolarWinds攻击背后的网络犯罪集团再次发起了大规模而复杂的电子邮件活动,在有效负载中包含恶意URL,从而使攻击者能够进行进一步的攻击。微软威胁情报中心(MSTIC)于1月下旬开始跟踪由Nobelium(以前称为Solarigate)发起的这一最新活动。根据Microsoft365Defenders威胁情报团队的一篇博文,该小组当时还处于侦察阶段,观察到它“一直在进化”。周二,研究人员开始观察到攻击升级,因为威胁组织开始使用合法的群发邮件服务ConstantContact伪装成美国的开发组织来传播包含恶意URL的电子邮件。攻击者的目标是各行各业的组织。除了极具破坏性的SolarWinds事件之外,Nobelium还是Sunburst后门、Teardrop恶意软件和GoldMax恶意软件的幕后黑手。该组织历来针对各种社会组织,包括政府机构、非政府组织、智库、军队、IT服务提供商、卫生技术和研究公司和团体以及电信提供商。在针对150多个组织的3,000个个人账户的最新活动中,研究人员表示:“犯罪团伙遵循既定模式,然后针对每个目标使用不同的基础设施和攻击工具。使他们能够在更长的时间内保持不被发现”。在SolarWinds攻击中,Nobelium通过将木马伪装成软件更新服务,并将定制的Sunburst后门推送给全球近18000家组织,成功感染目标。这样一来,2020年3月开始的攻击一直到12月才被发现,让攻击者有更多时间进一步渗透到组织中,引发严重的网络间谍活动,极大地影响了美国政府和科技公司的信息安全。.他们表示,那次攻击与这次最新的攻击活动之间存在一些关键差异,研究人员将其归因于“攻击者技术的变化”。改变策略MSTIC观察到,Nobelium在最近一次攻击中多次改变了策略。经过初步侦察后,该组织从2月到4月发起了一系列鱼叉式网络钓鱼活动,目的是通过电子邮件中的HTML附件破坏系统。研究人员观察到,在几个月的时间里,该组织修改了电子邮件和HTML文件,以及它感染受害者机器的方式。最初,在目标用户打开恶意文件后,HTML中的JavaScript将ISO文件写入磁盘并指示用户打开它。研究人员表示,这将允许挂载ISO文件,并且其中一个快捷方式文件(LNK)将执行附带的DLL文件,从而使CobaltStrikeBeacon能够在系统上执行。在4月份的更新迭代中,Nobelium从Firebase中删除了ISO文件,并将其编码为HTML文档;将HTML文档重定向到包含对恶意CobaltStrikeBeaconDLL进行编码的RTF文档的ISO文件。研究人员表示,该活动在5月份变得更加频繁,当时该组织开始使用ConstantContact来针对150多个组织的大约3,000个个人账户。“由于最近的高水平攻击活动,安全系统正在阻止大多数电子邮件并将它们标记为垃圾邮件,”研究人员指出。但是,系统可能较早地向收件人发送了一些电子邮件。研究人员指出,正是在攻击的这个阶段,Nobelium开始冒充一个名为美国国际开发署(USAID)的组织,并设法伪造一个与标准ConstantContact服务相同的发件人电子邮件地址。电子邮件地址。每个收件人的地址都不同,所有收件人都以<@in.constantcontact.com>结尾,回复地址为
