微软：SolarWinds事件的攻击者正在对24 个国家机构钓鱼

微软威胁情报中心 (MSTIC) 发现，SolarWinds 供应链攻击背后的俄罗斯支持的黑客现在正在协调针对全球政府机构的正在进行的网络钓鱼活动。

MSTIC 透露： “本周，我们观察到威胁行为者 Nobelium 发起的针对政府机构、智囊团、顾问和非政府组织的网络攻击。”

“这一波攻击针对 150 多个不同组织的大约 3,000 个电子邮件帐户。

“虽然美国的组织受到的攻击最多，但目标受害者至少遍布24个国家。”

使用被黑的 USAID 电子邮件营销帐户发送的网络钓鱼电子邮件

这些攻击背后的威胁行为者是一个被微软追踪为 Nobelium 并可能得到俄罗斯政府支持的黑客组织，它使用美国国际开发署受损的 Constant Contact 帐户（一种合法的电子邮件营销服务）发送网络钓鱼电子邮件。

该活动于 2021 年 1 月开始，逐渐演变为一系列攻击，最终以本周以美国国际开发署为主题的网络钓鱼浪潮达到高潮。

网络安全公司Volexity还发布了一份报告，该报告将钓鱼攻击活动与俄罗斯外国情报服务（SVR）运营商（追踪为APT29，Cozy Bear和The Dukes）进行了关联，该运营基于以前可追溯到2018年的攻击策略。

Nobelium 的感染链和恶意软件传送技术在整个攻击过程中不断发展，包含 HTML 附件的鱼叉式网络钓鱼消息将 ISO 文件放到受害者的硬盘上。

在受害者安装 ISO 后，他们被鼓励打开其中包含的文件（LNK 快捷方式或 RTF 文档），这将执行与文档捆绑在一起或存储在 ISO 映像中的 DLL，在系统上加载 Cobalt Strike Beacon。

微软表示：“如果目标设备是 Apple iOS 设备，则用户会被重定向到 NOBELIUM 控制下的另一台服务器，在那里提供自修补 CVE-2021-1879 的零日漏洞利用。”

“这些有效载荷的成功部署使 NOBELIUM 能够实现对受感染系统的持久访问，”微软补充道。

“然后，这些恶意有效载荷的成功执行可以使 NOBELIUM 能够针对目标采取行动，例如横向移动、数据泄露和其他恶意软件的交付。”

更多细节，包括攻击者的动机、微软在攻击过程中观察到的恶意行为，以及防御这一持续活动的最佳实践，都可以在MSTIC 的报告中找到 。

SolarWinds 黑客

去年 12 月，SolarWinds 网络管理公司 在一次网络攻击 中被攻破，攻击者可以发起针对该公司客户的供应链攻击。

SolarWinds  为选定的客户群做广告，其中包括美国财富 500 强排名中至少 425 家组织、美国前十名电信公司、所有美国军事部门、五角大楼、美国国家航空航天局、美国国家安全局、邮政服务、司法部和办公室美国的总统。

SolarWinds 在 3 月份透露， 由于去年的供应链攻击，到 2020 年 12月的 费用约为 350 万美元，并预计在接下来的财政期间会产生高额的额外费用。

SolarWinds供应链攻击背后的黑客组织被追踪为Nobelium（Microsoft），NC2452（FireEye），StellarParticle（CrowdStrike），SolarStorm（Palo Alto Unit 42）和 Dark Halo（Volexity）。

美国政府正式指控俄罗斯外国情报局（追踪为 APT29、The Dukes 或 Cozy Bear）的威胁行为者是入侵 SolarWinds 以开展“广泛的网络间谍活动”的组织。

微软在2月还表示，  SolarWinds黑客已下载 了有限数量的Azure，Intune和Exchange组件的源代码。

原文来自: bleepingcomputer.com