Nobelium是一种合成化学元素,为了纪念阿尔弗雷德·诺贝尔(Alfred Nobel)而命名,但它当前又有了一层新的寄义——被微软命名为此前发动过SolarWinds事宜的幕后攻击组织。SolarWinds事宜堪称2020年最严重的供应链攻击事宜,导致九家联邦机构和数百家私营企业数据泄露,美国白宫方面宣称俄罗斯对外情报局应为SolarWinds入侵事宜卖力,并直接宣布多项对俄罗斯的制裁措施。

近期,微软威胁情报中央(MSTIC)公布忠言称,由NOBELIUM提议的大规模恶意电子邮件流动正在肆虐。在此流动中,NOBELIUM行使了正当的群发邮件服务Constant Contact,将自己伪装成美国的某个开发组织,从而将恶意链接分发给种种组织和垂直行业。

流动先容

此次大规模电子邮件流动行使了Constant Contact发送恶意链接,目的受害者点击钓鱼邮件中的恶意链接后就会被植入恶意文件,该文件用于分发一个被称为 NativeZone 的后门。这种后门可以使后续的恶意流动成为可能,从窃取数据到横向移动熏染网络上的其他盘算机等。

此次流动最早最先于2021年1月28日,那时攻击者似乎在举行早期侦探,行使Firebase URL来纪录点击的目的,且未考察到恶意有用负载。随着时间的推移,Nobelium试图通过附加在鱼叉式网络钓鱼电子邮件中的HTML文件来损坏系统,若是吸收者打开了HTML附件,则HTML中的嵌入式JavaScript代码会将一个ISO文件写入磁盘,并诱导目的用户打开。

在整个三月时代,都有类似的鱼叉式网络钓鱼流动被检测到,NOBELIUM也会凭证预期目的对HTML文档举行响应修改。MSTIC示意,攻击者会在HTML文档中编码ISO,ISO中的RTF文档含有恶意Cobalt Strike Beacon DLL编码。攻击者将用一个URL替换HTML,前者指向的钓鱼网站中包罗诱骗目的组织的ISO文件。

ISO有用负载

如上所述,有用负载是通过ISO文件传送的。打开ISO文件时,它们的安装方式很像外部驱动器或网络驱动器。攻击者可以将容器部署到环境中,以促进执行或逃避防御。有时他们会部署一个新的容器来执行与特定映像或部署相关的历程,好比执行或下载恶意软件的历程。在其他情形下,攻击者可能部署一个没有设置网络规则、用户限制等的新容器,以绕过环境中现有的防御。

在这种情形下,快捷方式文件(.lnk)将执行随附的DLL,这将导致在主机上执行Cobalt Strike Beacons。值得注重的是,DLL是隐藏文件,Cobalt Strike Beacons通过端口443向呼叫攻击者的基础设施。

行动演变

,

免费足球贴士网

免费足球贴士网(www.zq68.vip)是国内最权威的足球赛事报道、预测平台。免费提供赛事直播,免费足球贴士,免费足球推介,免费专家贴士,免费足球推荐,最专业的足球心水网。

,

通报方式并不是这场行动中唯一的演变因素。在某次更具针对性的攻击中,攻击者没有通报ISO有用负载,但用户点击链接后,Web服务器将对目的装备执行剖析。若是目的装备是苹果iOS装备,用户将被重定向到另一个由NOBELIUM控制的服务器,那里提供了对0 day破绽CVE-2021-1879的破绽行使。

在四月份的攻击行动中,攻击者住手了对Firebase的使用,而且不再跟踪用户,他们的手艺转向了在HTML文档中对ISO举行编码。现在,有用负载通过使用api.ipify.org服务将目的主机的详细信息存储在远程服务器上,攻击者有时会对特定的内部Active Directory域举行检查,若是识别出意外的环境,这些域将终止恶意历程的执行。

最新动态

5月25日,NOBELIUM行动泛起了显著的升级,攻击者瞄准了150多个组织中的约莫3,000个小我私人帐户,目的受害者至少普及 24 个国家,位于美国的组织受到的攻击最多,至少有 1/4 的目的组织介入了国际生长、人性主义和人权事情。由于此行动中分发的电子邮件数目重大,大部门都被邮件侦测系统封锁并被符号为垃圾邮件,但仍可能有部门受害者中招。有用负载乐成部署后,NOBELIUM 能够延续接见受熏染的机械,并能够举行后续的恶意流动,例如横向移动、数据泄露或安装其他恶意软件。

IOC

MSTIC 提供了一份来自 2021 年 5 月 25 日提议的大规模攻击流动的入侵指标列表。MSTIC 指出,当前NOBELIUM的攻击仍然活跃,后续流动可能发生转变,不应将这些指标视为详尽无遗。

图1.Malwarebytes 在攻击前检测到 Cobalt Strike 负载 

图2.Malwarebytes还阻止了域 theyardservice.com

本文翻译自:https://blog.malwarebytes.com/threat- *** ysis/2021/05/solarwinds-attackers-launch-new-campaign/

IPFS官网

IPFS官网(www.ipfs8.vip)是FiLecoin致力服务于使用FiLecoin存储和检索数据的官方权威平台。IPFS官网实时更新FiLecoin(FIL)行情、当前FiLecoin(FIL)矿池、FiLecoin(FIL)收益数据、各类FiLecoin(FIL)矿机出售信息。并开放FiLecoin(FIL)交易所、IPFS云矿机、IPFS矿机出售、租用、招商等业务。

Allbet Gaming声明:该文看法仅代表作者自己,与www.allbetgame.us无关。转载请注明:filecoin挖矿(www.ipfs8.vip):SolarWinds攻击者新动态:全球超150 家机构遭网络攻击
发布评论

分享到:

ipfs算力(www.ipfs8.vip)_为何杨戬是天界“战神”?除了法力和作战先天外,他另有一个优点Paradox开发者谈为何不在论坛答疑:喷子着实太多了
你是第一个吃螃蟹的人
发表评论

◎欢迎参与讨论,请在这里发表您的看法、交流您的观点。