5月28日下午，微軟威脅情報(bào)中心（MSTIC）發(fā)現(xiàn)，SolarWinds事件背后的攻擊者正在進(jìn)行一場(chǎng)針對(duì)全球政府機(jī)構(gòu)的網(wǎng)絡(luò)釣魚(yú)運(yùn)動(dòng)。

　　MSTIC透露：“本周，我們觀察到了黑客組織Nobelium針對(duì)政府機(jī)構(gòu)、智庫(kù)、顧問(wèn)和非政府組織的網(wǎng)絡(luò)攻擊。”

　　這波攻擊針對(duì)150多個(gè)不同組織的大約3000個(gè)電子郵件賬戶(hù)。“雖然美國(guó)的組織受到的攻擊最多，但目標(biāo)受害者遍及至少24個(gè)國(guó)家。”

　　微軟追蹤此次的攻擊者為黑客組織Nobelium，也是此前微軟認(rèn)定的SolarWinds事件的攻擊者，背后可能是俄羅斯政府支持。

　　該組織使用美國(guó)國(guó)際開(kāi)發(fā)署（USAID）的Constant Contact賬戶(hù)（一種合法的電子郵件營(yíng)銷(xiāo)服務(wù)）發(fā)送了這些釣魚(yú)郵件。

       冒充美國(guó)國(guó)際開(kāi)發(fā)署的釣魚(yú)郵件

　　該活動(dòng)始于2021年1月，慢慢演變成一系列攻擊，上周以美國(guó)國(guó)際開(kāi)發(fā)署為主題的網(wǎng)絡(luò)釣魚(yú)浪潮達(dá)到高潮。

　　網(wǎng)絡(luò)安全公司Volexity也發(fā)布了一份報(bào)告，將這次網(wǎng)絡(luò)釣魚(yú)活動(dòng)與俄羅斯外國(guó)情報(bào)機(jī)構(gòu)（SVR）的運(yùn)營(yíng)商（追蹤為APT29、Cozy Bear和The Dukes）聯(lián)系在一起，這些網(wǎng)絡(luò)釣魚(yú)活動(dòng)使用的戰(zhàn)術(shù)可以追溯到2018年。

　　Nobelium的感染鏈和惡意軟件傳遞技術(shù)在整個(gè)攻擊過(guò)程中不斷發(fā)展，通過(guò)包含HTML附件的魚(yú)叉式釣魚(yú)信息將一個(gè)ISO文件放入受害者的硬盤(pán)。

　　在受害者掛載ISO后，他們被鼓勵(lì)打開(kāi)包含在其中的文件（LNK快捷方式或RTF文檔），這將執(zhí)行一個(gè)DLL捆綁在文件或存儲(chǔ)在ISO映像中，在系統(tǒng)上加載鈷打擊信標(biāo)。

　　微軟表示：“如果目標(biāo)設(shè)備是蘋(píng)果iOS設(shè)備，用戶(hù)會(huì)被重定向到Nobelium控制下的另一臺(tái)服務(wù)器，利用當(dāng)時(shí)的CVE-2021-1879分發(fā)代碼漏洞利用。”

　　微軟補(bǔ)充說(shuō)：“這些有效載荷的成功部署使Nobelium能夠持續(xù)訪問(wèn)受威脅系統(tǒng)。” “Nobelium利用惡意載荷對(duì)目標(biāo)采取橫向移動(dòng)、數(shù)據(jù)泄露和傳遞額外等行動(dòng)。”

　　微軟的報(bào)告中闡述了攻擊期間觀察到的惡意行為、細(xì)節(jié)，攻擊者動(dòng)機(jī)，以及抵御攻擊的最佳實(shí)踐。

　　HTML-ISO感染鏈

　　微軟在報(bào)告中推測(cè)，Nobelium此次的攻擊是情報(bào)收集工作的一部分。這次攻擊之所以聲勢(shì)浩大原因有三。

　　一是Nobelium的活動(dòng)以及類(lèi)似參與者的活動(dòng)是獲得技術(shù)提供商的訪問(wèn)權(quán)并感染客戶(hù)。

　　二是Nobelium活動(dòng)者通常會(huì)追蹤其所在國(guó)家/地區(qū)關(guān)注的問(wèn)題。例如此次Nobelium的目標(biāo)是人權(quán)組織等。在疫情高峰期則是疫苗機(jī)構(gòu)和醫(yī)療機(jī)構(gòu)，2019年則是體育和反興奮劑組織。

　　三是來(lái)自民族國(guó)家的網(wǎng)絡(luò)攻擊并沒(méi)有放緩。

　　新的博客文章中，微軟還提供了Nobelium在攻擊中使用的四個(gè)新惡意軟件家族的細(xì)節(jié)。

　　這四個(gè)新系列包括一個(gè)名為 “EnvyScout”的HTML附件，一個(gè)名為 “BoomBox”的下載器，一個(gè)名為 “NativeZone”的加載器，以及一個(gè)名為 “VaporRage”的殼碼下載器和啟動(dòng)器。

　　去年12月，SolarWinds在一次網(wǎng)絡(luò)攻擊中被攻破，攻擊者針對(duì)該公司的客戶(hù)發(fā)起供應(yīng)鏈攻擊。

　　SolarWinds供應(yīng)鏈攻擊背后的黑客組織被追蹤為Nobelium（微軟）、NC2452（火眼）、StellarParticle （CrowdStrike）、SolarStorm（Palo Alto Unit 42）和Dark Halo （Volexity）。

　　美國(guó)政府正式指控俄羅斯外國(guó)情報(bào)局（Russian Foreign Intelligence Service），（被追蹤為APT29、The Dukes或Cozy Bear）的威脅行當(dāng)，認(rèn)為是攻擊SolarWinds的組織在進(jìn)行“大范圍的網(wǎng)絡(luò)間諜活動(dòng)”。

　　微軟還在2月份表示，SolarWinds的黑客已經(jīng)下載了Azure、Intune和Exchange組件的有限數(shù)量的源代碼。