SolarWinds黑客从没离开,正在攻击24个国家政府机构/智库/NGO,身份已成国际谜团

华盟原创文章投稿奖励计划

文章来源:红数位

微软已经披露,SolarWinds供应链攻击名声大噪的攻击者SolarWinds黑客又开始行动了。这一次,他们的目标是 24 个国家的政府机构、顾问、智库和非政府组织。

SolarWinds黑客从没离开,正在攻击24个国家政府机构/智库/NGO,身份已成国际谜团

微软的调查结果得到了网络安全公司 Volexity 的证实。研究显示,这一次,SolarWinds 的攻击者针对的是美国和欧洲的非政府组织、研究机构、政府和国际机构。但是两家科技公司都未列出具体是哪些国家和哪些组织。
迄今已锁定超过150个组织
根据微软客户安全和信任公司副总裁 Tom Burt 的说法,最新一波攻击已经影响了150个不同的组织,目标大约为150家的3000 个电子邮件帐户。

SolarWinds黑客从没离开,正在攻击24个国家政府机构/智库/NGO,身份已成国际谜团

“至少有四分之一的目标组织参与了国际发展、人道主义和人权工作,”伯特在一篇博客文章中写道。
微软指认俄罗斯黑客涉嫌参与
微软声称俄罗斯威胁行为者被追踪为不同的身份,包括Nobelium、APT29。UNC2452、Dark Halo、 SolarStorm 和 StellarParticle 可能是造成入侵的主体,攻击者被认为是连接俄罗斯情报服务。
“再加上对 SolarWinds 的攻击,很明显,Nobelium 的部分策略是获得可信赖的技术提供商的访问权并感染他们的客户。通过搭载软件更新和现在的大量电子邮件提供商,Nobelium 增加了间谍活动附带损害的机会,并破坏了对技术生态系统的信任”伯特补充道。
俄罗斯对外情报局(SVR)局长Sergei Naryshkin本月18号就否认他所掌管的机构是SolarWinds遭网路攻击事件的主导者,这起攻击事件导致美国九个联邦机构及数百家民间企业受害。美国和英国都责怪SVR对SolarWinds发动攻击。Naryshkin在俄罗斯向英国广播公司(BBC)表示,“这些指控有如低劣的侦探小说。”Naryshkin是俄罗斯总统普京的亲密盟友。
当被BCC问及SVR是否要为SolarWinds攻击事件负责时,Naryshkin用嘲讽的语气说道,这锅要SVR背可是“过奖”了,但他不能“把别人深具创意的成就揽在自己身上”。Naryshkin指出,这起攻击事件的手法与美国和英国情报机构所使用的类似。
综合下来美国一再指认为俄罗斯所为,但是俄罗斯也一直否认,目前SolarWinds黑客身份已成科技界国际谜团。
它是如何工作的?
最近的攻击浪潮始于2021年1月,并于5月25日达到顶峰。该攻击开始时是网络钓鱼活动,并利用一种称为“恒定联系”的群发邮件服务。为了隐藏恶意活动,他们将其伪装成美国国际开发署。恶意网络钓鱼电子邮件被分发到各种垂直行业和组织。

SolarWinds黑客从没离开,正在攻击24个国家政府机构/智库/NGO,身份已成国际谜团黑客发送的钓鱼邮件

这些看似无害的电子邮件包含一个链接,点击该链接后,会立即发送名为 ICA-declass.iso 的恶意光盘映像文件,并通过 Documents.dll 注入名为 NativeZone的自定义Cobalt Strike Beacon植入物。

SolarWinds黑客从没离开,正在攻击24个国家政府机构/智库/NGO,身份已成国际谜团示例感染链流程

它配备了持续访问维护、数据泄露功能,还可以安装额外的恶意软件。攻击的另一个变体是,Nobelium尝试在电子邮件收件人单击链接后启动目标机器分析。

SolarWinds黑客从没离开,正在攻击24个国家政府机构/智库/NGO,身份已成国际谜团

恶意软件中包含的PDF诱饵

如果目标系统是基于 iOS 的,受害者将被重定向到一个新的远程服务器,从那里将针对零日CVE-2021-1879分发漏洞利用程序,不过Apple苹果公司已于 3 月 26 日修复了该漏洞
附录-恶意文件哈希
名称:ICA-declass.isoMD5:29e2ef8ef5c6ff95e98bff095e63dc05SHA1:bf7b36c521e52093360a4df0dd131703b7b3d648SHA256:94786066a64c0eb260a28a2959fcd31d63d175ade8b05ae682d3f6f9
名称:Documents.dllMD5:1c3b8ae594cb4ce24c2680b47cebf808SHA1:1fb12e923bdb71a1f34e98576b780ab2840ba22eSHA256:ee42ddacbd202008bcc1312e548e1d9ac670dd3d86c999606a3a01d464a2a
名称:ICA-declass.pdfMD5:b40b30329489d342b2aa5ef8309ad388SHA1:738c20a2cc825ae51b2a2f786248f850c8bab6f5SHA256:7d34f25ad8099bd069c5a04799299f17d127a3866b77ee34ffb59cfd36e29673
名称:Reports.lnkMD5:dcfd60883c73c3d92fceb6ac910d5b80SHA1:1cb1c2cd9f59d4e83eb3c950473a772406ec6f1aSHA256:48b5fb3fa3ea67c2bc0086c41ec755c39d748a7100d71b81
名称:DbgView.dllMD5:cca50cd497970977a5e880f2e921db72SHA1:38c99e8cd95f28b8d79b758cb940cf139e09f6aeSHA256:ad67aaa50fd60d02f1378b4155f69cffa9591eaeb80523489a2355512cc30e8c
参考微软:Another Nobelium Cyberattackhttps://blogs.microsoft.com/on-the-issues/2021/05/27/nobelium-cyberattack-nativezone-solarwinds/
Suspected APT29 Operation Launches Election Fraud Themed Phishing Campaignshttps://www.volexity.com/blog/2021/05/27/suspected-apt29-operation-launches-election-fraud-themed-phishing-campaigns/

华盟知识星球入口

本文来源红数位,经授权后由张发布,观点不代表华盟网的立场,转载请联系原作者。

发表评论