[[402901]]

Nobelium是一種合成化學(xué)元素，為了紀(jì)念阿爾弗雷德·諾貝爾(Alfred Nobel)而命名，但它當(dāng)前又有了一層新的含義——被微軟命名為此前發(fā)動過SolarWinds事件的幕后攻擊組織。SolarWinds事件堪稱2020年最嚴(yán)重的供應(yīng)鏈攻擊事件，導(dǎo)致九家聯(lián)邦機(jī)構(gòu)和數(shù)百家私營企業(yè)數(shù)據(jù)泄露，美國白宮方面宣稱俄羅斯對外情報局應(yīng)為SolarWinds入侵事件負(fù)責(zé)，并直接宣布多項對俄羅斯的制裁措施。

近期，微軟威脅情報中心(MSTIC)發(fā)布警告稱，由NOBELIUM發(fā)起的大規(guī)模惡意電子郵件活動正在肆虐。在此活動中，NOBELIUM利用了合法的群發(fā)郵件服務(wù)Constant Contact，將自己偽裝成美國的某個開發(fā)組織，從而將惡意鏈接分發(fā)給各種組織和垂直行業(yè)。

活動介紹

此次大規(guī)模電子郵件活動利用了Constant Contact發(fā)送惡意鏈接，目標(biāo)受害者點(diǎn)擊釣魚郵件中的惡意鏈接后就會被植入惡意文件，該文件用于分發(fā)一個被稱為 NativeZone 的后門。這種后門可以使后續(xù)的惡意活動成為可能，從竊取數(shù)據(jù)到橫向移動感染網(wǎng)絡(luò)上的其他計算機(jī)等。

此次活動最早開始于2021年1月28日，當(dāng)時攻擊者似乎在進(jìn)行早期偵察，利用Firebase URL來記錄點(diǎn)擊的目標(biāo)，且未觀察到惡意有效負(fù)載。隨著時間的推移，Nobelium試圖通過附加在魚叉式網(wǎng)絡(luò)釣魚電子郵件中的HTML文件來破壞系統(tǒng)，如果接收者打開了HTML附件，則HTML中的嵌入式JavaScript代碼會將一個ISO文件寫入磁盤，并誘導(dǎo)目標(biāo)用戶打開。

在整個三月期間，都有類似的魚叉式網(wǎng)絡(luò)釣魚活動被檢測到，NOBELIUM也會根據(jù)預(yù)期目標(biāo)對HTML文檔進(jìn)行相應(yīng)修改。MSTIC表示，攻擊者會在HTML文檔中編碼ISO，ISO中的RTF文檔含有惡意Cobalt Strike Beacon DLL編碼。攻擊者將用一個URL替代HTML，前者指向的釣魚網(wǎng)站中包含欺騙目標(biāo)組織的ISO文件。

ISO有效負(fù)載

如上所述，有效負(fù)載是通過ISO文件傳送的。打開ISO文件時，它們的安裝方式很像外部驅(qū)動器或網(wǎng)絡(luò)驅(qū)動器。攻擊者可以將容器部署到環(huán)境中，以促進(jìn)執(zhí)行或逃避防御。有時他們會部署一個新的容器來執(zhí)行與特定映像或部署相關(guān)的進(jìn)程，比如執(zhí)行或下載惡意軟件的進(jìn)程。在其他情況下，攻擊者可能部署一個沒有配置網(wǎng)絡(luò)規(guī)則、用戶限制等的新容器，以繞過環(huán)境中現(xiàn)有的防御。

在這種情況下，快捷方式文件(.lnk)將執(zhí)行隨附的DLL，這將導(dǎo)致在主機(jī)上執(zhí)行Cobalt Strike Beacons。值得注意的是，DLL是隱藏文件，Cobalt Strike Beacons通過端口443向呼叫攻擊者的基礎(chǔ)設(shè)施。

行動演變

傳遞方式并不是這場行動中唯一的演變因素。在某次更具針對性的攻擊中，攻擊者沒有傳遞ISO有效負(fù)載，但用戶點(diǎn)擊鏈接后，Web服務(wù)器將對目標(biāo)設(shè)備執(zhí)行分析。如果目標(biāo)設(shè)備是蘋果iOS設(shè)備，用戶將被重定向到另一個由NOBELIUM控制的服務(wù)器，那里提供了對0 day漏洞CVE-2021-1879的漏洞利用。

在四月份的攻擊行動中，攻擊者停止了對Firebase的使用，并且不再跟蹤用戶，他們的技術(shù)轉(zhuǎn)向了在HTML文檔中對ISO進(jìn)行編碼?，F(xiàn)在，有效負(fù)載通過使用api.ipify.org服務(wù)將目標(biāo)主機(jī)的詳細(xì)信息存儲在遠(yuǎn)程服務(wù)器上，攻擊者有時會對特定的內(nèi)部Active Directory域進(jìn)行檢查，如果識別出意外的環(huán)境，這些域?qū)⒔K止惡意進(jìn)程的執(zhí)行。

最新動態(tài)

5月25日，NOBELIUM行動出現(xiàn)了明顯的升級，攻擊者瞄準(zhǔn)了150多個組織中的大約3,000個個人帳戶，目標(biāo)受害者至少遍及 24 個國家，位于美國的組織受到的攻擊最多，至少有 1/4 的目標(biāo)組織參與了國際發(fā)展、人道主義和人權(quán)工作。由于此行動中分發(fā)的電子郵件數(shù)量龐大，大部分都被郵件偵測系統(tǒng)封鎖并被標(biāo)記為垃圾郵件，但仍可能有部分受害者中招。有效負(fù)載成功部署后，NOBELIUM 能夠持續(xù)訪問受感染的機(jī)器，并能夠進(jìn)行后續(xù)的惡意活動，例如橫向移動、數(shù)據(jù)泄露或安裝其他惡意軟件。

IOC

MSTIC 提供了一份來自 2021 年 5 月 25 日發(fā)起的大規(guī)模攻擊活動的入侵指標(biāo)列表。MSTIC 指出，當(dāng)前NOBELIUM的攻擊仍然活躍，后續(xù)活動可能發(fā)生變化，不應(yīng)將這些指標(biāo)視為詳盡無遺。

圖1.Malwarebytes 在攻擊前檢測到 Cobalt Strike 負(fù)載

圖2.Malwarebytes還阻止了域 theyardservice.com

本文翻譯自：https://blog.malwarebytes.com/threat-analysis/2021/05/solarwinds-attackers-launch-new-campaign/如若轉(zhuǎn)載，請注明原文地址。