SolarWinds攻擊者新動態(tài):全球超150 家機構遭網(wǎng)絡攻擊
Nobelium是一種合成化學元素,為了紀念阿爾弗雷德·諾貝爾(Alfred Nobel)而命名,但它當前又有了一層新的含義——被微軟命名為此前發(fā)動過SolarWinds事件的幕后攻擊組織。SolarWinds事件堪稱2020年最嚴重的供應鏈攻擊事件,導致九家聯(lián)邦機構和數(shù)百家私營企業(yè)數(shù)據(jù)泄露,美國白宮方面宣稱俄羅斯對外情報局應為SolarWinds入侵事件負責,并直接宣布多項對俄羅斯的制裁措施。
近期,微軟威脅情報中心(MSTIC)發(fā)布警告稱,由NOBELIUM發(fā)起的大規(guī)模惡意電子郵件活動正在肆虐。在此活動中,NOBELIUM利用了合法的群發(fā)郵件服務Constant Contact,將自己偽裝成美國的某個開發(fā)組織,從而將惡意鏈接分發(fā)給各種組織和垂直行業(yè)。
活動介紹
此次大規(guī)模電子郵件活動利用了Constant Contact發(fā)送惡意鏈接,目標受害者點擊釣魚郵件中的惡意鏈接后就會被植入惡意文件,該文件用于分發(fā)一個被稱為 NativeZone 的后門。這種后門可以使后續(xù)的惡意活動成為可能,從竊取數(shù)據(jù)到橫向移動感染網(wǎng)絡上的其他計算機等。
此次活動最早開始于2021年1月28日,當時攻擊者似乎在進行早期偵察,利用Firebase URL來記錄點擊的目標,且未觀察到惡意有效負載。隨著時間的推移,Nobelium試圖通過附加在魚叉式網(wǎng)絡釣魚電子郵件中的HTML文件來破壞系統(tǒng),如果接收者打開了HTML附件,則HTML中的嵌入式JavaScript代碼會將一個ISO文件寫入磁盤,并誘導目標用戶打開。
在整個三月期間,都有類似的魚叉式網(wǎng)絡釣魚活動被檢測到,NOBELIUM也會根據(jù)預期目標對HTML文檔進行相應修改。MSTIC表示,攻擊者會在HTML文檔中編碼ISO,ISO中的RTF文檔含有惡意Cobalt Strike Beacon DLL編碼。攻擊者將用一個URL替代HTML,前者指向的釣魚網(wǎng)站中包含欺騙目標組織的ISO文件。
ISO有效負載
如上所述,有效負載是通過ISO文件傳送的。打開ISO文件時,它們的安裝方式很像外部驅動器或網(wǎng)絡驅動器。攻擊者可以將容器部署到環(huán)境中,以促進執(zhí)行或逃避防御。有時他們會部署一個新的容器來執(zhí)行與特定映像或部署相關的進程,比如執(zhí)行或下載惡意軟件的進程。在其他情況下,攻擊者可能部署一個沒有配置網(wǎng)絡規(guī)則、用戶限制等的新容器,以繞過環(huán)境中現(xiàn)有的防御。
在這種情況下,快捷方式文件(.lnk)將執(zhí)行隨附的DLL,這將導致在主機上執(zhí)行Cobalt Strike Beacons。值得注意的是,DLL是隱藏文件,Cobalt Strike Beacons通過端口443向呼叫攻擊者的基礎設施。
行動演變
傳遞方式并不是這場行動中唯一的演變因素。在某次更具針對性的攻擊中,攻擊者沒有傳遞ISO有效負載,但用戶點擊鏈接后,Web服務器將對目標設備執(zhí)行分析。如果目標設備是蘋果iOS設備,用戶將被重定向到另一個由NOBELIUM控制的服務器,那里提供了對0 day漏洞CVE-2021-1879的漏洞利用。
在四月份的攻擊行動中,攻擊者停止了對Firebase的使用,并且不再跟蹤用戶,他們的技術轉向了在HTML文檔中對ISO進行編碼。現(xiàn)在,有效負載通過使用api.ipify.org服務將目標主機的詳細信息存儲在遠程服務器上,攻擊者有時會對特定的內(nèi)部Active Directory域進行檢查,如果識別出意外的環(huán)境,這些域將終止惡意進程的執(zhí)行。
最新動態(tài)
5月25日,NOBELIUM行動出現(xiàn)了明顯的升級,攻擊者瞄準了150多個組織中的大約3,000個個人帳戶,目標受害者至少遍及 24 個國家,位于美國的組織受到的攻擊最多,至少有 1/4 的目標組織參與了國際發(fā)展、人道主義和人權工作。由于此行動中分發(fā)的電子郵件數(shù)量龐大,大部分都被郵件偵測系統(tǒng)封鎖并被標記為垃圾郵件,但仍可能有部分受害者中招。有效負載成功部署后,NOBELIUM 能夠持續(xù)訪問受感染的機器,并能夠進行后續(xù)的惡意活動,例如橫向移動、數(shù)據(jù)泄露或安裝其他惡意軟件。
IOC
MSTIC 提供了一份來自 2021 年 5 月 25 日發(fā)起的大規(guī)模攻擊活動的入侵指標列表。MSTIC 指出,當前NOBELIUM的攻擊仍然活躍,后續(xù)活動可能發(fā)生變化,不應將這些指標視為詳盡無遺。
圖1.Malwarebytes 在攻擊前檢測到 Cobalt Strike 負載
圖2.Malwarebytes還阻止了域 theyardservice.com
本文翻譯自:https://blog.malwarebytes.com/threat-analysis/2021/05/solarwinds-attackers-launch-new-campaign/如若轉載,請注明原文地址。
