臭名昭著的SolarWinds攻击背后的网络犯罪集团再次发动了一场大规模的复杂的电子邮件攻击活动,邮件中带有有效载荷的恶意URL,这样使得攻击者能够进行进一步的攻击活动。
微软威胁情报中心(MSTIC)于1月下旬开始跟踪Nobelium(以前称为Solarigate)的这一最新的攻击活动。根据微软365防御者威胁情报小组的一篇博文称,当时该团伙还处于侦察阶段,并且观察到它 “一直在发生演变”。
周二,研究人员开始观察到这一攻击行为已经开始升级,因为威胁攻击集团开始伪装成一个总部设在美国的开发组织,使用合法的群发邮件服务Constant Contact传播包含恶意的URLs的电子邮件。攻击者的目标是各行各业的组织。
除了极具破坏性的SolarWinds事件外,Nobelium还是Sunburst后门、Teardrop恶意软件和GoldMax恶意软件背后的攻击组织。该组织历来以各种社会组织为攻击目标,包括政府机构、非政府组织、智囊团、军队、IT服务提供商、卫生技术和研究公司及团体,以及电信供应商。
最新的攻击活动正在进行中,攻击目标是150多个组织的3000个个人账户,研究人员说:”犯罪团伙会采用一种既定的模式,然后为每个目标使用不同的基础设施和攻击工具,使得他们能够在较长的时间内不被发现”。
在SolarWinds攻击中,Nobelium通过将木马伪装成软件更新服务向全球近18000个组织推送定制的Sunburst后门,从而能够成功感染目标。通过这种方式,2020年3月就一直在进行的攻击直到12月也仍未被发现,这使得攻击者有更多的时间进一步渗透该组织,并导致了一场很严重的网络间谍活动,这大大影响了美国政府和科技公司的信息安全。
他们说,那次攻击和这次最新的攻击活动之间有一些关键的区别,研究人员将其归因于 “攻击人员的技术的改变”。
一直在变化的战术
MSTIC观察到Nobelium在其最新的攻击过程中多次改变攻击的策略。在完成最初的侦察之后,该组织从2月到4月就发动了一系列的鱼叉式网络钓鱼活动,他们的目的是为了通过电子邮件中的HTML附件来入侵系统。
据研究人员观察,在这几个月中,该组织对电子邮件和HTML文件以及感染受害者机器的方式都进行了修改。
最初,在目标用户打开恶意文件后,HTML中的JavaScript会将一个ISO文件写入磁盘并指导用户打开它。研究人员说,这将实现ISO文件的挂载,而其中一个快捷方式文件(LNK)将执行一个附带的DLL文件,从而使得Cobalt Strike Beacon在系统中执行。
在4月份的更新迭代中,Nobelium从Firebase中删除了ISO文件,而将其编码在HTML文档中;将HTML文档重定向到包含RTF文档的ISO文件中,该文档中编码了恶意的Cobalt Strike Beacon DLL。
研究人员说,该攻击活动在5月份开始变得很频繁,当时该组织开始利用Constant Contact针对150多个组织的大约3000个个人账户进行攻击。
研究人员指出:”最近由于大量的攻击活动,安全系统阻止了大部分的电子邮件,并将它们标记为了垃圾邮件。”然而,该系统可能在早期已经将一些的电子邮件传递给了收件人。
使用邮件群发服务
研究人员指出,正是在攻击的这一阶段,Nobelium开始冒充一个名为美国国际开发署(USAID)的组织,并成功伪造成了一个与标准Constant Contact服务一样的发件人电子邮件地址。每个收件人的地址都不一样,并且都以 < @in.constantcontact.com > 结尾,回复地址为 < [email protected] >。
这些邮件声称是美国国际开发署发出的警报,内容是前总统唐纳德-特朗普公布的有关 “选举作弊 “的文件,特朗普声称这些行为导致他在2020年选举中输给了总统乔-拜登。
据研究人员称,如果用户点击了电子邮件上的链接,该URL将引导他们进入到合法的Constant Contact服务,然后通过一个提供恶意ISO文件的URL重定向到了Nobelium控制的基础设施。
研究人员指出:”点击LNK文件时最终会执行’C:\Windows\system32\rundll32.exe ,这些有效载荷的成功部署使Nobelium能够对被攻击系统的持久性访问”。
他们补充说,这种持久性也使该组织能够进行进一步的恶意攻击,如横向移动、数据渗出和投放恶意软件等活动。
MSTIC推荐了一些应对该攻击活动的措施,这些方法可以帮助组织识别它是否会成为攻击目标或其系统是否存在潜在的被感染的风险。
本文翻译自:https://threatpost.com/solarwinds-nobelium-phishing-attack-usaid/166531/如若转载,请注明原文地址。
文章来源网络,作者:运维,如若转载,请注明出处:https://shuyeidc.com/wp/152516.html<
