Nobelium是一种合成化学元素，为了纪念阿尔弗雷德·诺贝尔(Alfred Nobel)而命名，但它当前又有了一层新的含义——被微软命名为此前发动过SolarWinds事件的幕后攻击组织。SolarWinds事件堪称2020年最严重的供应链攻击事件，导致九家联邦机构和数百家私营企业数据泄露，美国白宫方面宣称俄罗斯对外情报局应为SolarWinds入侵事件负责，并直接宣布多项对俄罗斯的制裁措施。

近期，微软威胁情报中心(MSTIC)发布警告称，由NOBELIUM发起的大规模恶意电子邮件活动正在肆虐。在此活动中，NOBELIUM利用了合法的群发邮件服务Constant Contact，将自己伪装成美国的某个开发组织，从而将恶意链接分发给各种组织和垂直行业。

活动介绍

此次大规模电子邮件活动利用了Constant Contact发送恶意链接，目标受害者点击钓鱼邮件中的恶意链接后就会被植入恶意文件，该文件用于分发一个被称为 NativeZone 的后门。这种后门可以使后续的恶意活动成为可能，从窃取数据到横向移动感染网络上的其他计算机等。

此次活动最早开始于2021年1月28日，当时攻击者似乎在进行早期侦察，利用Firebase URL来记录点击的目标，且未观察到恶意有效负载。随着时间的推移，Nobelium试图通过附加在鱼叉式网络钓鱼电子邮件中的HTML文件来破坏系统，如果接收者打开了HTML附件，则HTML中的嵌入式JavaScript代码会将一个ISO文件写入磁盘，并诱导目标用户打开。

在整个三月期间，都有类似的鱼叉式网络钓鱼活动被检测到，NOBELIUM也会根据预期目标对HTML文档进行相应修改。MSTIC表示，攻击者会在HTML文档中编码ISO，ISO中的RTF文档含有恶意Cobalt Strike Beacon DLL编码。攻击者将用一个URL替代HTML，前者指向的钓鱼网站中包含欺骗目标组织的ISO文件。

ISO有效负载

如上所述，有效负载是通过ISO文件传送的。打开ISO文件时，它们的安装方式很像外部驱动器或网络驱动器。攻击者可以将容器部署到环境中，以促进执行或逃避防御。有时他们会部署一个新的容器来执行与特定映像或部署相关的进程，比如执行或下载恶意软件的进程。在其他情况下，攻击者可能部署一个没有配置网络规则、用户限制等的新容器，以绕过环境中现有的防御。

在这种情况下，快捷方式文件(.lnk)将执行随附的DLL，这将导致在主机上执行Cobalt Strike Beacons。值得注意的是，DLL是隐藏文件，Cobalt Strike Beacons通过端口443向呼叫攻击者的基础设施。

行动演变

传递方式并不是这场行动中唯一的演变因素。在某次更具针对性的攻击中，攻击者没有传递ISO有效负载，但用户点击链接后，Web服务器将对目标设备执行分析。如果目标设备是苹果iOS设备，用户将被重定向到另一个由NOBELIUM控制的服务器，那里提供了对0 day漏洞CVE-2021-1879的漏洞利用。

在四月份的攻击行动中，攻击者停止了对Firebase的使用，并且不再跟踪用户，他们的技术转向了在HTML文档中对ISO进行编码。现在，有效负载通过使用api.ipify.org服务将目标主机的详细信息存储在远程服务器上，攻击者有时会对特定的内部Active Directory域进行检查，如果识别出意外的环境，这些域将终止恶意进程的执行。

最新动态

5月25日，NOBELIUM行动出现了明显的升级，攻击者瞄准了150多个组织中的大约3,000个个人帐户，目标受害者至少遍及 24 个国家，位于美国的组织受到的攻击最多，至少有 1/4 的目标组织参与了国际发展、人道主义和人权工作。由于此行动中分发的电子邮件数量庞大，大部分都被邮件侦测系统封锁并被标记为垃圾邮件，但仍可能有部分受害者中招。有效负载成功部署后，NOBELIUM 能够持续访问受感染的机器，并能够进行后续的恶意活动，例如横向移动、数据泄露或安装其他恶意软件。

IOC

MSTIC 提供了一份来自 2021 年 5 月 25 日发起的大规模攻击活动的入侵指标列表。MSTIC 指出，当前NOBELIUM的攻击仍然活跃，后续活动可能发生变化，不应将这些指标视为详尽无遗。

图1.Malwarebytes 在攻击前检测到 Cobalt Strike 负载

图2.Malwarebytes还阻止了域 theyardservice.com

本文翻译自：https://blog.malwarebytes.com/threat-analysis/2021/05/solarwinds-attackers-launch-new-campaign/如若转载，请注明原文地址。