SolarWinds攻击者新动态:全球超150 家机构遭网络攻击
Nobelium是一种合成化学元素,为了纪念阿尔弗雷德·诺贝尔(Alfred Nobel)而命名,但它当前又有了一层新的含义——被微软命名为此前发动过SolarWinds事件的幕后攻击组织。SolarWinds事件堪称2020年最严重的供应链攻击事件,导致九家联邦机构和数百家私营企业数据泄露,美国白宫方面宣称俄罗斯对外情报局应为SolarWinds入侵事件负责,并直接宣布多项对俄罗斯的制裁措施。
近期,微软威胁情报中心(MSTIC)发布警告称,由NOBELIUM发起的大规模恶意电子邮件活动正在肆虐。在此活动中,NOBELIUM利用了合法的群发邮件服务Constant Contact,将自己伪装成美国的某个开发组织,从而将恶意链接分发给各种组织和垂直行业。
活动介绍
此次大规模电子邮件活动利用了Constant Contact发送恶意链接,目标受害者点击钓鱼邮件中的恶意链接后就会被植入恶意文件,该文件用于分发一个被称为 NativeZone 的后门。这种后门可以使后续的恶意活动成为可能,从窃取数据到横向移动感染网络上的其他计算机等。
此次活动最早开始于2021年1月28日,当时攻击者似乎在进行早期侦察,利用Firebase URL来记录点击的目标,且未观察到恶意有效负载。随着时间的推移,Nobelium试图通过附加在鱼叉式网络钓鱼电子邮件中的HTML文件来破坏系统,如果接收者打开了HTML附件,则HTML中的嵌入式JavaScript代码会将一个ISO文件写入磁盘,并诱导目标用户打开。
在整个三月期间,都有类似的鱼叉式网络钓鱼活动被检测到,NOBELIUM也会根据预期目标对HTML文档进行相应修改。MSTIC表示,攻击者会在HTML文档中编码ISO,ISO中的RTF文档含有恶意Cobalt Strike Beacon DLL编码。攻击者将用一个URL替代HTML,前者指向的钓鱼网站中包含欺骗目标组织的ISO文件。
ISO有效负载
如上所述,有效负载是通过ISO文件传送的。打开ISO文件时,它们的安装方式很像外部驱动器或网络驱动器。攻击者可以将容器部署到环境中,以促进执行或逃避防御。有时他们会部署一个新的容器来执行与特定映像或部署相关的进程,比如执行或下载恶意软件的进程。在其他情况下,攻击者可能部署一个没有配置网络规则、用户限制等的新容器,以绕过环境中现有的防御。
在这种情况下,快捷方式文件(.lnk)将执行随附的DLL,这将导致在主机上执行Cobalt Strike Beacons。值得注意的是,DLL是隐藏文件,Cobalt Strike Beacons通过端口443向呼叫攻击者的基础设施。
行动演变
传递方式并不是这场行动中唯一的演变因素。在某次更具针对性的攻击中,攻击者没有传递ISO有效负载,但用户点击链接后,Web服务器将对目标设备执行分析。如果目标设备是苹果iOS设备,用户将被重定向到另一个由NOBELIUM控制的服务器,那里提供了对0 day漏洞CVE-2021-1879的漏洞利用。
在四月份的攻击行动中,攻击者停止了对Firebase的使用,并且不再跟踪用户,他们的技术转向了在HTML文档中对ISO进行编码。现在,有效负载通过使用api.ipify.org服务将目标主机的详细信息存储在远程服务器上,攻击者有时会对特定的内部Active Directory域进行检查,如果识别出意外的环境,这些域将终止恶意进程的执行。
最新动态
5月25日,NOBELIUM行动出现了明显的升级,攻击者瞄准了150多个组织中的大约3,000个个人帐户,目标受害者至少遍及 24 个国家,位于美国的组织受到的攻击最多,至少有 1/4 的目标组织参与了国际发展、人道主义和人权工作。由于此行动中分发的电子邮件数量庞大,大部分都被邮件侦测系统封锁并被标记为垃圾邮件,但仍可能有部分受害者中招。有效负载成功部署后,NOBELIUM 能够持续访问受感染的机器,并能够进行后续的恶意活动,例如横向移动、数据泄露或安装其他恶意软件。
IOC
MSTIC 提供了一份来自 2021 年 5 月 25 日发起的大规模攻击活动的入侵指标列表。MSTIC 指出,当前NOBELIUM的攻击仍然活跃,后续活动可能发生变化,不应将这些指标视为详尽无遗。
图1.Malwarebytes 在攻击前检测到 Cobalt Strike 负载
图2.Malwarebytes还阻止了域 theyardservice.com
本文翻译自:https://blog.malwarebytes.com/threat-analysis/2021/05/solarwinds-attackers-launch-new-campaign/如若转载,请注明原文地址。
低调大师中文资讯倾力打造互联网数据资讯、行业资源、电子商务、移动互联网、网络营销平台。
持续更新报道IT业界、互联网、市场资讯、驱动更新,是最及时权威的产业资讯及硬件资讯报道平台。
转载内容版权归作者及来源网站所有,本站原创内容转载请注明来源。
- 上一篇
美国经济学家:在5G技术和应用方面,美国只能“追赶中国尾巴”!
香港《亚洲时报》网站刊登美国经济学家大卫·戈德曼(David P. Goldman)文章称,美国在5G领域已经落后,只能“追赶中国的尾巴”。 文章称,据中国业界人士称,中国制造商已经构建了大约5000套私有或专用5G网络,随着5G宽带助力第四次工业革命,今年这类网络还将增加数万套。 目前,中国已拥有全球70%的5G基站,以及80%的5G智能手机用户。 文章认为,全球芯片短缺,以及美国对华为和中兴等中国电信设备公司的制裁,在一定程度上拖慢了中国的5G建设进度,但5G基础设施已经覆盖了中国所有的主要城市。 业内消息人士称,中国将在2月底累计79.2万座基站基础上再新增50万至80万座5G基站。5G对生产力和盈利能力的影响将来自其下游应用,而不是网络建设本身。 一位中国高管对《亚洲时报》表示:“西方向中国5G技术的替代品投入数十亿美元,没有任何意义,这太少也太晚了,而且它们专注于错误的领域。试图发明一个替代的生态系统是行不通的。我原本以为美国会说,‘让我们改变行业,让它更有竞争力’。之前美国擅长与谷歌、微软和亚马逊等公司合作进行分析,这是它本来应该做的。” 作者认为,5G是21世纪的铁路——...
- 下一篇
网络犯罪市场Deer.io俄罗斯管理员在美国被判入狱
俄罗斯公民 Kirill Victorovich Firsov因经营流行的网络犯罪市场 Deer.io在美国监狱被判入狱 30 个月(2.5 年)。 根据美国司法部 (DoJ)的新闻稿,Kirill Victorovich Firsov 已被判处 30 个月的监禁,因为他是“一个网站管理员,该网站通过虚拟销售被盗信用卡等物品来迎合网络犯罪分子用于犯罪活动的信息、其他个人信息和服务。” 2021 年 1 月 21 日,俄罗斯黑客对“未经授权的访问设备请求”认罪。这项指控的最高刑罚是长达十年的监禁和约 250,000 美元的罚款。 据美国地方法官辛西娅·巴尚特(Cynthia Bashant)称,在决定量刑时,承认菲尔索夫已经在美国监狱系统中度过了 15 个月。任期届满后,他将被驱逐回俄罗斯。 以前的报道 在去年被FBI(联邦调查局)查封之前, Deer.io 是互联网上评价最高的平台之一。在它消亡之前,Deer.io 也被称为主要平台,用于销售从受感染设备、黑客社交媒体帐户、PII 和财务数据中获得的数据。 网站管理员是当时28 岁的俄罗斯人 Kirill Victorovich Fir...
相关文章
文章评论
共有0条评论来说两句吧...
文章二维码
点击排行
推荐阅读
最新文章
- SpringBoot2整合Thymeleaf,官方推荐html解决方案
- Eclipse初始化配置,告别卡顿、闪退、编译时间过长
- CentOS关闭SELinux安全模块
- Docker安装Oracle12C,快速搭建Oracle学习环境
- SpringBoot2整合Redis,开启缓存,提高访问速度
- CentOS8,CentOS7,CentOS6编译安装Redis5.0.7
- CentOS8编译安装MySQL8.0.19
- CentOS7,8上快速安装Gitea,搭建Git服务器
- Docker使用Oracle官方镜像安装(12C,18C,19C)
- CentOS6,CentOS7官方镜像安装Oracle11G