微软:SolarWinds 供应链攻击事件幕后黑手攻击全球24国政府
编译:奇安信代码卫士
MSTIC 披露称,“本周我们发现威胁行动者 Nobelium 攻击各政府机构、智库、咨询机构和非政府组织机构。这波攻击针对位于150多个不同组织机构的3000多份邮件账户。虽然遭受攻击范围最广的是位于美国的组织机构,但受害者至少遍布24个国家。”
微软称这起攻击的幕后黑手是 Nobelium,可能受俄罗斯政府支持,它利用 USAID 受陷的 Constant Contact 账户(合法的邮件营销服务)发送钓鱼邮件。
这起攻击活动始于2021年1月,慢慢形成一系列攻击活动,在本周关于 USAID 主题的钓鱼活动中达到高潮。
网络安全公司 Volexity 发布报告,基于该组织在2018年使用的技术,将这起钓鱼活动和俄罗斯对外情报局 (SVR) 的操纵者(被称为 APT29、Cozy Bear 和 The Dukes)。
Nobelium 组织的感染链和恶意软件交付技术在这些攻击活动中在发展,攻击者将包含 HTML 附件的鱼叉式钓鱼活动信息将 ISO 文件释放到受害者的硬盘驱动中。
之后,受害者被诱骗打开其中的文件,执行捆绑在该文件中或存储在 ISO 图像中的 DLL,将 Cobalt Strike Beacon 加载在系统上。
微软指出,“如果受攻击设备是 Apple iOS 设备,则用户被重定向到受 NOBELIUM 控制下的另一台服务器,从而利用已修复 0day (CVE-2021-1879) 的exploit。成功部署这些 payload 可使 NOBELIUM 实现对已受陷系统的可持续访问权限。之后,成功执行这些恶意payload 可使 NOBELIUM 组织进行横向移动、数据提取和恶意软件交付等操作。”
2020年12月,SolarWinds 网络管理公司遭网络攻击,使攻击者发动针对该公司客户的供应链攻击活动。
SolarWinds 事件幕后黑客针对客户群发动攻击,包括美国财富500强公司中的至少425家企业、美国十大通信公司、美国陆军所有分支、五角大楼、NASA、NSA、邮政服务、司法部以及美国总统办公室。
今年3月份,SolarWinds 称SolarWinds 供应链攻击至少花费350万美元,下一个财务期间可能会造成更多成本。其幕后黑手被称为 Nobelium(微软)、NC2452(火眼)、StellarParticle (CrowdStrike)、SolarStorm (Palo Alto Unit 42) 和 Dark Halo (Volexity)。
美国政府正式指责俄罗斯对外情报局(被称为 APT29、The Dukes 或 Cozy Bear)为幕后黑手,执行“大规模网络间谍活动”。今年2月份,微软表示,SolarWinds 黑客从数量有限的 Azure、Intune 和 Exchange 组件中下载了源代码。
具体报告可见:https://www.microsoft.com/security/blog/2021/05/27/new-sophisticated-email-based-attack-from-nobelium/
CISA:企业断网3到5天,赶走网络中的 SolarWinds 黑客
奇安信专家:近八成软件存开源漏洞 供应链需全生命周期安全防护
https://www.bleepingcomputer.com/news/security/microsoft-russian-svr-hackers-target-govt-agencies-from-24-countries/
题图:Pixabay License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的
产品线。