[[402901]]

Nobelium是一種合成化學元素，為了紀念阿爾弗雷德·諾貝爾(Alfred Nobel)而命名，但它當前又有了一層新的含義——被微軟命名為此前發動過SolarWinds事件的幕后攻擊組織。SolarWinds事件堪稱2020年最嚴重的供應鏈攻擊事件，導致九家聯邦機構和數百家私營企業數據泄露，美國白宮方面宣稱俄羅斯對外情報局應為SolarWinds入侵事件負責，并直接宣布多項對俄羅斯的制裁措施。

近期，微軟威脅情報中心(MSTIC)發布警告稱，由NOBELIUM發起的大規模惡意電子郵件活動正在肆虐。在此活動中，NOBELIUM利用了合法的群發郵件服務Constant Contact，將自己偽裝成美國的某個開發組織，從而將惡意鏈接分發給各種組織和垂直行業。

活動介紹

此次大規模電子郵件活動利用了Constant Contact發送惡意鏈接，目標受害者點擊釣魚郵件中的惡意鏈接后就會被植入惡意文件，該文件用于分發一個被稱為 NativeZone 的后門。這種后門可以使后續的惡意活動成為可能，從竊取數據到橫向移動感染網絡上的其他計算機等。

此次活動最早開始于2021年1月28日，當時攻擊者似乎在進行早期偵察，利用Firebase URL來記錄點擊的目標，且未觀察到惡意有效負載。隨著時間的推移，Nobelium試圖通過附加在魚叉式網絡釣魚電子郵件中的HTML文件來破壞系統，如果接收者打開了HTML附件，則HTML中的嵌入式JavaScript代碼會將一個ISO文件寫入磁盤，并誘導目標用戶打開。

在整個三月期間，都有類似的魚叉式網絡釣魚活動被檢測到，NOBELIUM也會根據預期目標對HTML文檔進行相應修改。MSTIC表示，攻擊者會在HTML文檔中編碼ISO，ISO中的RTF文檔含有惡意Cobalt Strike Beacon DLL編碼。攻擊者將用一個URL替代HTML，前者指向的釣魚網站中包含欺騙目標組織的ISO文件。

ISO有效負載

如上所述，有效負載是通過ISO文件傳送的。打開ISO文件時，它們的安裝方式很像外部驅動器或網絡驅動器。攻擊者可以將容器部署到環境中，以促進執行或逃避防御。有時他們會部署一個新的容器來執行與特定映像或部署相關的進程，比如執行或下載惡意軟件的進程。在其他情況下，攻擊者可能部署一個沒有配置網絡規則、用戶限制等的新容器，以繞過環境中現有的防御。

在這種情況下，快捷方式文件(.lnk)將執行隨附的DLL，這將導致在主機上執行Cobalt Strike Beacons。值得注意的是，DLL是隱藏文件，Cobalt Strike Beacons通過端口443向呼叫攻擊者的基礎設施。

行動演變

傳遞方式并不是這場行動中唯一的演變因素。在某次更具針對性的攻擊中，攻擊者沒有傳遞ISO有效負載，但用戶點擊鏈接后，Web服務器將對目標設備執行分析。如果目標設備是蘋果iOS設備，用戶將被重定向到另一個由NOBELIUM控制的服務器，那里提供了對0 day漏洞CVE-2021-1879的漏洞利用。

在四月份的攻擊行動中，攻擊者停止了對Firebase的使用，并且不再跟蹤用戶，他們的技術轉向了在HTML文檔中對ISO進行編碼?，F在，有效負載通過使用api.ipify.org服務將目標主機的詳細信息存儲在遠程服務器上，攻擊者有時會對特定的內部Active Directory域進行檢查，如果識別出意外的環境，這些域將終止惡意進程的執行。

最新動態

5月25日，NOBELIUM行動出現了明顯的升級，攻擊者瞄準了150多個組織中的大約3,000個個人帳戶，目標受害者至少遍及 24 個國家，位于美國的組織受到的攻擊最多，至少有 1/4 的目標組織參與了國際發展、人道主義和人權工作。由于此行動中分發的電子郵件數量龐大，大部分都被郵件偵測系統封鎖并被標記為垃圾郵件，但仍可能有部分受害者中招。有效負載成功部署后，NOBELIUM 能夠持續訪問受感染的機器，并能夠進行后續的惡意活動，例如橫向移動、數據泄露或安裝其他惡意軟件。

IOC

MSTIC 提供了一份來自 2021 年 5 月 25 日發起的大規模攻擊活動的入侵指標列表。MSTIC 指出，當前NOBELIUM的攻擊仍然活躍，后續活動可能發生變化，不應將這些指標視為詳盡無遺。

圖1.Malwarebytes 在攻擊前檢測到 Cobalt Strike 負載

圖2.Malwarebytes還阻止了域 theyardservice.com

本文翻譯自：https://blog.malwarebytes.com/threat-analysis/2021/05/solarwinds-attackers-launch-new-campaign/如若轉載，請注明原文地址。