5月28日中午,微软公司威胁情报中心(MSTIC)发觉,SolarWinds事情后面的攻击者已经开展一场对于全世界政府机构的网络钓鱼健身运动。
MSTIC透露:“这周,大家观查到了黑客联盟Nobelium对于政府机构、中国智库、咨询顾问和社会组织的黑客攻击。”
这波进攻对于150好几个不一样结构的大概3000个电子邮箱帐户。“尽管英国的结构遭受的进攻较多,但总体目标受害人遍布最少24个我国。”
微软公司跟踪本次的攻击者为黑客联盟Nobelium,也是先前微软公司评定的SolarWinds事情的攻击者,身后可能是俄罗斯政府适用。
该机构应用美国国际开发署(USAID)的Constant Contact帐户(一种正规的邮件营销服务项目)推送了这种钓鱼邮件。
假冒美国国际开发署的钓鱼邮件
该主题活动起源于2021年1月,渐渐地转变成一系列进攻,上星期以美国国际开发署为主题风格的网络钓鱼的浪潮达到高点。
网络信息安全企业Volexity也公布了一份汇报,将此次网络钓鱼主题活动与俄国国外情报组织(SVR)的营运商(跟踪为APT29、Cozy Bear和The Dukes)联络在一起,这种网络钓鱼主题活动采用的战略可以上溯到2018年。
Nobelium的感柒链和恶意程序传送技术性在全部进攻流程中飞速发展,根据包括HTML配件的鱼叉式垂钓信息内容将一个ISO文件放进受害人的电脑硬盘。
在受害人初始化ISO后,她们被激励开启包括之中的文档(LNK快捷方式图标或RTF文本文档),这将实行一个DLL捆缚在文档或储存在ISO印象中,在操作系统上载入钴打压信标。
微软公司表明:“假如总体目标机器设备是苹果iOS设备,客户会被跳转到Nobelium操纵下的另一台网络服务器,运用那时候的CVE-2021-1879派发编码漏洞检测。”
微软公司填补说:“这种有效载荷的取得成功布署使Nobelium可以不断浏览受危害系统软件。” “Nobelium运用故意负载对总体目标采用横着挪动、数据泄漏和传送附加等行为。”
微软公司的报告书中论述了进攻期内观查到的故意个人行为、关键点,攻击者动因,及其抵挡进攻的最佳实践。
HTML-ISO感柒链
微软公司在汇报中推断,Nobelium本次的进攻是情报信息搜集工作中的一部分。此次进攻往往盛况空前缘故有三:
- 一是Nobelium的主题活动及其相近参加者的活动内容是得到经销商的浏览权并感柒顾客。
- 二是Nobelium主题活动者通常回跟踪其所属我国/地域了解的问题。例如本次Nobelium的总体目标是公民权利机构等。在新冠疫情高峰时段则是疫苗组织和定点医疗机构,2019年则是体育运动和反兴奋药机构。
- 三是来源于专制制度的黑客攻击并沒有变缓。
在一篇新的网络文章中,微软公司还带来了Nobelium在伤害中应用的四个新恶意程序大家族的关键点。
这四个新系列产品包含一个名叫 "EnvyScout "的HTML配件,一个名叫 "BoomBox "的下载工具,一个名叫 "NativeZone "的加载器,及其一个名叫 "VaporRage "的壳码下载工具和驱动器。
上年12月,SolarWinds在一次黑客攻击中被攻克,攻击者对于该公司的用户进行供应链管理进攻。
SolarWinds供应链管理进攻后面的黑客联盟被跟踪为Nobelium(微软公司)、NC2452(火眼金睛)、StellarParticle (CrowdStrike)、SolarStorm(Palo Alto Unit 42)和Dark Halo (Volexity)。
美政府宣布控告俄国国外情报站(Russian Foreign Intelligence Service),(被跟踪为APT29、The Dukes或Cozy Bear)的危害行业,觉得是进攻SolarWinds的安排在开展“大范畴的互联网情报活动”。
微软公司仍在2月表明,SolarWinds的网络黑客早已安装了Azure、Intune和Exchange部件的比较有限总数的源码。