犯罪分子冒充美國國際開發(fā)署進行網絡釣魚攻擊
臭名昭著的SolarWinds攻擊背后的網絡犯罪集團再次發(fā)動了一場大規(guī)模的復雜的電子郵件攻擊活動,郵件中帶有有效載荷的惡意URL,這樣使得攻擊者能夠進行進一步的攻擊活動。
微軟威脅情報中心(MSTIC)于1月下旬開始跟蹤Nobelium(以前稱為Solarigate)的這一最新的攻擊活動。根據微軟365防御者威脅情報小組的一篇博文稱,當時該團伙還處于偵察階段,并且觀察到它 "一直在發(fā)生演變"。
周二,研究人員開始觀察到這一攻擊行為已經開始升級,因為威脅攻擊集團開始偽裝成一個總部設在美國的開發(fā)組織,使用合法的群發(fā)郵件服務Constant Contact傳播包含惡意的URLs的電子郵件。攻擊者的目標是各行各業(yè)的組織。
除了極具破壞性的SolarWinds事件外,Nobelium還是Sunburst后門、Teardrop惡意軟件和GoldMax惡意軟件背后的攻擊組織。該組織歷來以各種社會組織為攻擊目標,包括政府機構、非政府組織、智囊團、軍隊、IT服務提供商、衛(wèi)生技術和研究公司及團體,以及電信供應商。
最新的攻擊活動正在進行中,攻擊目標是150多個組織的3000個個人賬戶,研究人員說:"犯罪團伙會采用一種既定的模式,然后為每個目標使用不同的基礎設施和攻擊工具,使得他們能夠在較長的時間內不被發(fā)現"。
在SolarWinds攻擊中,Nobelium通過將木馬偽裝成軟件更新服務向全球近18000個組織推送定制的Sunburst后門,從而能夠成功感染目標。通過這種方式,2020年3月就一直在進行的攻擊直到12月也仍未被發(fā)現,這使得攻擊者有更多的時間進一步滲透該組織,并導致了一場很嚴重的網絡間諜活動,這大大影響了美國政府和科技公司的信息安全。
他們說,那次攻擊和這次最新的攻擊活動之間有一些關鍵的區(qū)別,研究人員將其歸因于 "攻擊人員的技術的改變"。
一直在變化的戰(zhàn)術
MSTIC觀察到Nobelium在其最新的攻擊過程中多次改變攻擊的策略。在完成最初的偵察之后,該組織從2月到4月就發(fā)動了一系列的魚叉式網絡釣魚活動,他們的目的是為了通過電子郵件中的HTML附件來入侵系統(tǒng)。
據研究人員觀察,在這幾個月中,該組織對電子郵件和HTML文件以及感染受害者機器的方式都進行了修改。
最初,在目標用戶打開惡意文件后,HTML中的JavaScript會將一個ISO文件寫入磁盤并指導用戶打開它。研究人員說,這將實現ISO文件的掛載,而其中一個快捷方式文件(LNK)將執(zhí)行一個附帶的DLL文件,從而使得Cobalt Strike Beacon在系統(tǒng)中執(zhí)行。
在4月份的更新迭代中,Nobelium從Firebase中刪除了ISO文件,而將其編碼在HTML文檔中;將HTML文檔重定向到包含RTF文檔的ISO文件中,該文檔中編碼了惡意的Cobalt Strike Beacon DLL。
研究人員說,該攻擊活動在5月份開始變得很頻繁,當時該組織開始利用Constant Contact針對150多個組織的大約3000個個人賬戶進行攻擊。
研究人員指出:"最近由于大量的攻擊活動,安全系統(tǒng)阻止了大部分的電子郵件,并將它們標記為了垃圾郵件。"然而,該系統(tǒng)可能在早期已經將一些的電子郵件傳遞給了收件人。
使用郵件群發(fā)服務
研究人員指出,正是在攻擊的這一階段,Nobelium開始冒充一個名為美國國際開發(fā)署(USAID)的組織,并成功偽造成了一個與標準Constant Contact服務一樣的發(fā)件人電子郵件地址。每個收件人的地址都不一樣,并且都以 < @in.constantcontact.com > 結尾,回復地址為 < mhillary@usaid.gov >。
這些郵件聲稱是美國國際開發(fā)署發(fā)出的警報,內容是前總統(tǒng)唐納德-特朗普公布的有關 "選舉作弊 "的文件,特朗普聲稱這些行為導致他在2020年選舉中輸給了總統(tǒng)喬-拜登。
據研究人員稱,如果用戶點擊了電子郵件上的鏈接,該URL將引導他們進入到合法的Constant Contact服務,然后通過一個提供惡意ISO文件的URL重定向到了Nobelium控制的基礎設施。
研究人員指出:"點擊LNK文件時最終會執(zhí)行'C:\Windows\system32\rundll32.exe ,這些有效載荷的成功部署使Nobelium能夠對被攻擊系統(tǒng)的持久性訪問”。
他們補充說,這種持久性也使該組織能夠進行進一步的惡意攻擊,如橫向移動、數據滲出和投放惡意軟件等活動。
MSTIC推薦了一些應對該攻擊活動的措施,這些方法可以幫助組織識別它是否會成為攻擊目標或其系統(tǒng)是否存在潛在的被感染的風險。
本文翻譯自:https://threatpost.com/solarwinds-nobelium-phishing-attack-usaid/166531/如若轉載,請注明原文地址。
