[[403223]]

臭名昭著的SolarWinds攻擊背后的網(wǎng)絡(luò)犯罪集團(tuán)再次發(fā)動(dòng)了一場(chǎng)大規(guī)模的復(fù)雜的電子郵件攻擊活動(dòng)，郵件中帶有有效載荷的惡意URL，這樣使得攻擊者能夠進(jìn)行進(jìn)一步的攻擊活動(dòng)。

微軟威脅情報(bào)中心(MSTIC)于1月下旬開(kāi)始跟蹤Nobelium(以前稱為Solarigate)的這一最新的攻擊活動(dòng)。根據(jù)微軟365防御者威脅情報(bào)小組的一篇博文稱，當(dāng)時(shí)該團(tuán)伙還處于偵察階段，并且觀察到它 "一直在發(fā)生演變"。

周二，研究人員開(kāi)始觀察到這一攻擊行為已經(jīng)開(kāi)始升級(jí)，因?yàn)橥{攻擊集團(tuán)開(kāi)始偽裝成一個(gè)總部設(shè)在美國(guó)的開(kāi)發(fā)組織，使用合法的群發(fā)郵件服務(wù)Constant Contact傳播包含惡意的URLs的電子郵件。攻擊者的目標(biāo)是各行各業(yè)的組織。

除了極具破壞性的SolarWinds事件外，Nobelium還是Sunburst后門(mén)、Teardrop惡意軟件和GoldMax惡意軟件背后的攻擊組織。該組織歷來(lái)以各種社會(huì)組織為攻擊目標(biāo)，包括政府機(jī)構(gòu)、非政府組織、智囊團(tuán)、軍隊(duì)、IT服務(wù)提供商、衛(wèi)生技術(shù)和研究公司及團(tuán)體，以及電信供應(yīng)商。

最新的攻擊活動(dòng)正在進(jìn)行中，攻擊目標(biāo)是150多個(gè)組織的3000個(gè)個(gè)人賬戶，研究人員說(shuō)："犯罪團(tuán)伙會(huì)采用一種既定的模式，然后為每個(gè)目標(biāo)使用不同的基礎(chǔ)設(shè)施和攻擊工具，使得他們能夠在較長(zhǎng)的時(shí)間內(nèi)不被發(fā)現(xiàn)"。

在SolarWinds攻擊中，Nobelium通過(guò)將木馬偽裝成軟件更新服務(wù)向全球近18000個(gè)組織推送定制的Sunburst后門(mén)，從而能夠成功感染目標(biāo)。通過(guò)這種方式，2020年3月就一直在進(jìn)行的攻擊直到12月也仍未被發(fā)現(xiàn)，這使得攻擊者有更多的時(shí)間進(jìn)一步滲透該組織，并導(dǎo)致了一場(chǎng)很嚴(yán)重的網(wǎng)絡(luò)間諜活動(dòng)，這大大影響了美國(guó)政府和科技公司的信息安全。

他們說(shuō)，那次攻擊和這次最新的攻擊活動(dòng)之間有一些關(guān)鍵的區(qū)別，研究人員將其歸因于 "攻擊人員的技術(shù)的改變"。

一直在變化的戰(zhàn)術(shù)

MSTIC觀察到Nobelium在其最新的攻擊過(guò)程中多次改變攻擊的策略。在完成最初的偵察之后，該組織從2月到4月就發(fā)動(dòng)了一系列的魚(yú)叉式網(wǎng)絡(luò)釣魚(yú)活動(dòng)，他們的目的是為了通過(guò)電子郵件中的HTML附件來(lái)入侵系統(tǒng)。

據(jù)研究人員觀察，在這幾個(gè)月中，該組織對(duì)電子郵件和HTML文件以及感染受害者機(jī)器的方式都進(jìn)行了修改。

最初，在目標(biāo)用戶打開(kāi)惡意文件后，HTML中的JavaScript會(huì)將一個(gè)ISO文件寫(xiě)入磁盤(pán)并指導(dǎo)用戶打開(kāi)它。研究人員說(shuō)，這將實(shí)現(xiàn)ISO文件的掛載，而其中一個(gè)快捷方式文件(LNK)將執(zhí)行一個(gè)附帶的DLL文件，從而使得Cobalt Strike Beacon在系統(tǒng)中執(zhí)行。

在4月份的更新迭代中，Nobelium從Firebase中刪除了ISO文件，而將其編碼在HTML文檔中;將HTML文檔重定向到包含RTF文檔的ISO文件中，該文檔中編碼了惡意的Cobalt Strike Beacon DLL。

研究人員說(shuō)，該攻擊活動(dòng)在5月份開(kāi)始變得很頻繁，當(dāng)時(shí)該組織開(kāi)始利用Constant Contact針對(duì)150多個(gè)組織的大約3000個(gè)個(gè)人賬戶進(jìn)行攻擊。

研究人員指出："最近由于大量的攻擊活動(dòng)，安全系統(tǒng)阻止了大部分的電子郵件，并將它們標(biāo)記為了垃圾郵件。"然而，該系統(tǒng)可能在早期已經(jīng)將一些的電子郵件傳遞給了收件人。

使用郵件群發(fā)服務(wù)

研究人員指出，正是在攻擊的這一階段，Nobelium開(kāi)始冒充一個(gè)名為美國(guó)國(guó)際開(kāi)發(fā)署(USAID)的組織，并成功偽造成了一個(gè)與標(biāo)準(zhǔn)Constant Contact服務(wù)一樣的發(fā)件人電子郵件地址。每個(gè)收件人的地址都不一樣，并且都以 < @in.constantcontact.com > 結(jié)尾，回復(fù)地址為 < mhillary@usaid.gov >。

這些郵件聲稱是美國(guó)國(guó)際開(kāi)發(fā)署發(fā)出的警報(bào)，內(nèi)容是前總統(tǒng)唐納德-特朗普公布的有關(guān) "選舉作弊 "的文件，特朗普聲稱這些行為導(dǎo)致他在2020年選舉中輸給了總統(tǒng)喬-拜登。

據(jù)研究人員稱，如果用戶點(diǎn)擊了電子郵件上的鏈接，該URL將引導(dǎo)他們進(jìn)入到合法的Constant Contact服務(wù)，然后通過(guò)一個(gè)提供惡意ISO文件的URL重定向到了Nobelium控制的基礎(chǔ)設(shè)施。

研究人員指出："點(diǎn)擊LNK文件時(shí)最終會(huì)執(zhí)行'C:\Windows\system32\rundll32.exe ，這些有效載荷的成功部署使Nobelium能夠?qū)Ρ还粝到y(tǒng)的持久性訪問(wèn)”。

他們補(bǔ)充說(shuō)，這種持久性也使該組織能夠進(jìn)行進(jìn)一步的惡意攻擊，如橫向移動(dòng)、數(shù)據(jù)滲出和投放惡意軟件等活動(dòng)。

MSTIC推薦了一些應(yīng)對(duì)該攻擊活動(dòng)的措施，這些方法可以幫助組織識(shí)別它是否會(huì)成為攻擊目標(biāo)或其系統(tǒng)是否存在潛在的被感染的風(fēng)險(xiǎn)。

本文翻譯自：https://threatpost.com/solarwinds-nobelium-phishing-attack-usaid/166531/如若轉(zhuǎn)載，請(qǐng)注明原文地址。