SolarWinds黑客从没离开，正在攻击24个国家政府机

文章来源：红数位 微软已经披露，SolarWinds供应链攻击名声大噪的攻击者SolarWinds黑客又开始行动了。这一次，他们的目标是 24 个国家的政府机构、顾问、智库和非政府组织。 微软的调查结果得到了网络安全公司 Volexity 的证实。研究显示，这一次，SolarWinds 的攻击者针对的是美国和欧洲的非政府组织、研究机构、政府和国际机构。但是两家科技公司都未列出具体是哪些国家和哪些组织。 迄今已锁定超过150个组织 根据微软客户安全和信任公司副总裁 Tom Burt 的说法，最新一波攻击已经影响了150个不同的组织，目标大约为150家的3000 个电子邮件帐户。 “至少有四分之一的目标组织参与了国际发展、人道主义和人权工作，”伯特在一篇博客文章中写道。 微软指认俄罗斯黑客涉嫌参与 微软声称俄罗斯威胁行为者被追踪为不同的身份，包括Nobelium、APT29。UNC2452、Dark Halo、 SolarStorm 和 StellarParticle 可能是造成入侵的主体，攻击者被认为是连接俄罗斯情报服务。 “再加上对 SolarWinds 的攻击，很明显，Nobelium 的部分策略是获得可信赖的技术提供商的访问权并感染他们的客户。通过搭载软件更新和现在的大量电子邮件提供商，Nobelium 增加了间谍活动附带损害的机会，并破坏了对技术生态系统的信任”伯特补充道。 俄罗斯对外情报局(SVR)局长Sergei Naryshkin本月18号就否认他所掌管的机构是SolarWinds遭网路攻击事件的主导者，这起攻击事件导致美国九个联邦机构及数百家民间企业受害。美国和英国都责怪SVR对SolarWinds发动攻击。Naryshkin在俄罗斯向英国广播公司(BBC)表示，“这些指控有如低劣的侦探小说。”Naryshkin是俄罗斯总统普京的亲密盟友。 当被BCC问及SVR是否要为SolarWinds攻击事件负责时，Naryshkin用嘲讽的语气说道，这锅要SVR背可是“过奖”了，但他不能“把别人深具创意的成就揽在自己身上”。Naryshkin指出，这起攻击事件的手法与美国和英国情报机构所使用的类似。 综合下来美国一再指认为俄罗斯所为，但是俄罗斯也一直否认，目前SolarWinds黑客身份已成科技界国际谜团。 它是如何工作的？ 最近的攻击浪潮始于2021年1月，并于5月25日达到顶峰。该攻击开始时是网络钓鱼活动，并利用一种称为“恒定联系”的群发邮件服务。为了隐藏恶意活动，他们将其伪装成美国国际开发署。恶意网络钓鱼电子邮件被分发到各种垂直行业和组织。 黑客发送的钓鱼邮件 这些看似无害的电子邮件包含一个链接，点击该链接后，会立即发送名为 ICA-declass.iso 的恶意光盘映像文件，并通过 Documents.dll 注入名为 NativeZone的自定义Cobalt Strike Beacon植入物。 示例感染链流程 它配备了持续访问维护、数据泄露功能，还可以安装额外的恶意软件。攻击的另一个变体是，Nobelium尝试在电子邮件收件人单击链接后启动目标机器分析。 恶意软件中包含的PDF诱饵 如果目标系统是基于 iOS 的，受害者将被重定向到一个新的远程服务器，从那里将针对零日CVE-2021-1879分发漏洞利用程序，不过Apple苹果公司已于 3 月 26 日修复了该漏洞。 附录-恶意文件哈希 名称：ICA-declass.isoMD5：29e2ef8ef5c6ff95e98bff095e63dc05SHA1：bf7b36c521e52093360a4df0dd131703b7b3d648SHA256：94786066a64c0eb260a28a2959fcd31d63d175ade8b05ae682d3f6f9 名称：Documents.dllMD5：1c3b8ae594cb4ce24c2680b47cebf808SHA1：1fb12e923bdb71a1f34e98576b780ab2840ba22eSHA256：ee42ddacbd202008bcc1312e548e1d9ac670dd3d86c999606a3a01d464a2a 名称：ICA-declass.pdfMD5：b40b30329489d342b2aa5ef8309ad388SHA1：738c20a2cc825ae51b2a2f786248f850c8bab6f5SHA256：7d34f25ad8099bd069c5a04799299f17d127a3866b77ee34ffb59cfd36e29673 名称：Reports.lnkMD5：dcfd60883c73c3d92fceb6ac910d5b80SHA1：1cb1c2cd9f59d4e83eb3c950473a772406ec6f1aSHA256：48b5fb3fa3ea67c2bc0086c41ec755c39d748a7100d71b81 名称：DbgView.dllMD5：cca50cd497970977a5e880f2e921db72SHA1：38c99e8cd95f28b8d79b758cb940cf139e09f6aeSHA256：ad67aaa50fd60d02f1378b4155f69cffa9591eaeb80523489a2355512cc30e8c 参考微软：Another Nobelium Cyberattackhttps://blogs.microsoft.com/on-the-issues/2021/05/27/nobelium-cyberattack-nativezone-solarwinds/ Suspected APT29 Operation Launches Election Fraud Themed Phishing Campaignshttps://www.volexity.com/blog/2021/05/27/suspected-apt29-operation-launches-election-fraud-themed-phishing-campaigns/