查看原文
其他

微软:SolarWinds 供应链攻击事件幕后黑手攻击全球24国政府

Sergiu Gatlan 代码卫士 2022-05-23

 聚焦源代码安全,网罗国内外最新资讯!

编译:奇安信代码卫士

微软威胁情报中心 (MSTIC) 称,SolarWinds 供应链攻击幕后的俄罗斯黑客组织瞄准全球各政府机构,发动钓鱼攻击活动。


MSTIC 披露称,“本周我们发现威胁行动者 Nobelium 攻击各政府机构、智库、咨询机构和非政府组织机构。这波攻击针对位于150多个不同组织机构的3000多份邮件账户。虽然遭受攻击范围最广的是位于美国的组织机构,但受害者至少遍布24个国家。”


利用USAID 邮件营销账户发送钓鱼邮件


微软称这起攻击的幕后黑手是 Nobelium,可能受俄罗斯政府支持,它利用 USAID 受陷的 Constant Contact 账户(合法的邮件营销服务)发送钓鱼邮件。

这起攻击活动始于2021年1月,慢慢形成一系列攻击活动,在本周关于 USAID 主题的钓鱼活动中达到高潮。   

网络安全公司 Volexity 发布报告,基于该组织在2018年使用的技术,将这起钓鱼活动和俄罗斯对外情报局 (SVR) 的操纵者(被称为 APT29、Cozy Bear 和 The Dukes)。

Nobelium 组织的感染链和恶意软件交付技术在这些攻击活动中在发展,攻击者将包含 HTML 附件的鱼叉式钓鱼活动信息将 ISO 文件释放到受害者的硬盘驱动中。

之后,受害者被诱骗打开其中的文件,执行捆绑在该文件中或存储在 ISO 图像中的 DLL,将 Cobalt Strike Beacon 加载在系统上。

微软指出,“如果受攻击设备是 Apple iOS 设备,则用户被重定向到受 NOBELIUM 控制下的另一台服务器,从而利用已修复 0day (CVE-2021-1879) 的exploit。成功部署这些 payload 可使 NOBELIUM 实现对已受陷系统的可持续访问权限。之后,成功执行这些恶意payload 可使 NOBELIUM 组织进行横向移动、数据提取和恶意软件交付等操作。”


SolarWinds 黑客


2020年12月,SolarWinds 网络管理公司遭网络攻击,使攻击者发动针对该公司客户的供应链攻击活动。

SolarWinds 事件幕后黑客针对客户群发动攻击,包括美国财富500强公司中的至少425家企业、美国十大通信公司、美国陆军所有分支、五角大楼、NASA、NSA、邮政服务、司法部以及美国总统办公室。

今年3月份,SolarWinds 称SolarWinds 供应链攻击至少花费350万美元,下一个财务期间可能会造成更多成本。其幕后黑手被称为 Nobelium(微软)、NC2452(火眼)、StellarParticle (CrowdStrike)、SolarStorm (Palo Alto Unit 42) 和 Dark Halo (Volexity)。

美国政府正式指责俄罗斯对外情报局(被称为 APT29、The Dukes 或 Cozy Bear)为幕后黑手,执行“大规模网络间谍活动”。今年2月份,微软表示,SolarWinds 黑客从数量有限的 Azure、Intune 和 Exchange 组件中下载了源代码。

具体报告可见:https://www.microsoft.com/security/blog/2021/05/27/new-sophisticated-email-based-attack-from-nobelium/





推荐阅读
俄罗斯被指为 SolarWinds 供应链事件元凶,技术公司受制裁,常用5大漏洞遭曝光
CISA:企业断网3到5天,赶走网络中的 SolarWinds 黑客
奇安信专家:近八成软件存开源漏洞 供应链需全生命周期安全防护




原文链接

https://www.bleepingcomputer.com/news/security/microsoft-russian-svr-hackers-target-govt-agencies-from-24-countries/


题图:Pixabay License


本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。



奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的

产品线。

    觉得不错,就点个 “在看” 或 "” 吧~



您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存