6微软于1月25日发布了一篇博客文章,称他们发现SolarWinds事件背后的黑客组织Nobelium入侵微软客户支持系统,成功破坏至少三个实体。
微软威胁情报中心表示他们发现了Nobelium为了获得一些公司网络的访问权限,组织一直在进行密码喷洒攻击和蛮力攻击。
密码喷涂:喷涂密码攻击是一种自动密码猜测。该攻击方法将同时对所有用户进行特定的密码登录,以增加破解的机会,并避免锁定账户。
蛮力攻击:又称穷举攻击或暴力破解,是一种密码分析方法。在找到真正的密码之前,逐一计算密码。
然而,微软表示,该组织的大部分攻击都没有成功,只有三个实体被该组织破坏。
在这次攻击中,Nobelium主要目标是IT公司(57%),其次是政府组织(20%),非政府组织、智库和金融业占比较小。
此外,从攻击者所属国家来看,美国企业的攻击比例最高,约占45%,其次是英国的10%,以及对德国和加拿大企业的少量攻击。据统计,共有36个国家成为攻击的目标。
黑客入侵微软客户支持系统
在对此次攻击进行调查的期间,微软还发现,一名微软客服人员的电脑被Nobelium组织入侵。据调查,客服人员的电脑上安装了一个可以窃取信息的木马程序。
由于计算机可以访问少数客户的基本账户信息,微软认为黑客将利用收集到的信息向特定的微软客户提供信息“高针对性”钓鱼攻击。
据路透社报道,Nobelium该组织在5月下半年访问了这些账户信息,包括账单联系信息、客户支付服务和其他项目。
目前,微软已对攻击做出了相关响应,删除了设备的访问权限并保护了它。此外,微软正在通知所有受影响的客户,并提供支持,以保护他们的账户安全。
Nobelium组织背景
Nobelium组织,又称 APT29、Cozy Bear 和 The Dukes。被认为是SolarWinds供应链攻击的始作俑者。
不久前,该组织还被曝劫持美国国际开发署(USAID)的 Constant Contact 账户。美国国际发展署是一家负责提供对外援助和发展援助的美国机构。
由 Nobelium 组织发送USAID 钓鱼邮件
该组织利用该账户进行有针对性的网络钓鱼攻击,分发恶意软件并访问内部网络。