日本综合一区二区|亚洲中文天堂综合|日韩欧美自拍一区|男女精品天堂一区|欧美自拍第6页亚洲成人精品一区|亚洲黄色天堂一区二区成人|超碰91偷拍第一页|日韩av夜夜嗨中文字幕|久久蜜综合视频官网|精美人妻一区二区三区

Nobelium是一種合成化學元素，為了紀念阿爾弗雷德·諾貝爾(Alfred Nobel)而命名，但它當前又有了一層新的含義——被微軟命名為此前發(fā)動過SolarWinds事件的幕后攻擊組織。SolarWinds事件堪稱2020年最嚴重的供應(yīng)鏈攻擊事件，導致九家聯(lián)邦機構(gòu)和數(shù)百家私營企業(yè)數(shù)據(jù)泄露，美國白宮方面宣稱俄羅斯對外情報局應(yīng)為SolarWinds入侵事件負責，并直接宣布多項對俄羅斯的制裁措施。

創(chuàng)新互聯(lián)建站是一家集網(wǎng)站建設(shè),康馬企業(yè)網(wǎng)站建設(shè),康馬品牌網(wǎng)站建設(shè),網(wǎng)站定制,康馬網(wǎng)站建設(shè)報價,網(wǎng)絡(luò)營銷,網(wǎng)絡(luò)優(yōu)化,康馬網(wǎng)站推廣為一體的創(chuàng)新建站企業(yè)，幫助傳統(tǒng)企業(yè)提升企業(yè)形象加強企業(yè)競爭力。可充分滿足這一群體相比中小企業(yè)更為豐富、高端、多元的互聯(lián)網(wǎng)需求。同時我們時刻保持專業(yè)、時尚、前沿，時刻以成就客戶成長自我，堅持不斷學習、思考、沉淀、凈化自己，讓我們?yōu)楦嗟钠髽I(yè)打造出實用型網(wǎng)站。

近期，微軟威脅情報中心(MSTIC)發(fā)布警告稱，由NOBELIUM發(fā)起的大規(guī)模惡意電子郵件活動正在肆虐。在此活動中，NOBELIUM利用了合法的群發(fā)郵件服務(wù)Constant Contact，將自己偽裝成美國的某個開發(fā)組織，從而將惡意鏈接分發(fā)給各種組織和垂直行業(yè)。

活動介紹

此次大規(guī)模電子郵件活動利用了Constant Contact發(fā)送惡意鏈接，目標受害者點擊釣魚郵件中的惡意鏈接后就會被植入惡意文件，該文件用于分發(fā)一個被稱為 NativeZone 的后門。這種后門可以使后續(xù)的惡意活動成為可能，從竊取數(shù)據(jù)到橫向移動感染網(wǎng)絡(luò)上的其他計算機等。

此次活動最早開始于2021年1月28日，當時攻擊者似乎在進行早期偵察，利用Firebase URL來記錄點擊的目標，且未觀察到惡意有效負載。隨著時間的推移，Nobelium試圖通過附加在魚叉式網(wǎng)絡(luò)釣魚電子郵件中的HTML文件來破壞系統(tǒng)，如果接收者打開了HTML附件，則HTML中的嵌入式JavaScript代碼會將一個ISO文件寫入磁盤，并誘導目標用戶打開。

在整個三月期間，都有類似的魚叉式網(wǎng)絡(luò)釣魚活動被檢測到，NOBELIUM也會根據(jù)預(yù)期目標對HTML文檔進行相應(yīng)修改。MSTIC表示，攻擊者會在HTML文檔中編碼ISO，ISO中的RTF文檔含有惡意Cobalt Strike Beacon DLL編碼。攻擊者將用一個URL替代HTML，前者指向的釣魚網(wǎng)站中包含欺騙目標組織的ISO文件。

ISO有效負載

如上所述，有效負載是通過ISO文件傳送的。打開ISO文件時，它們的安裝方式很像外部驅(qū)動器或網(wǎng)絡(luò)驅(qū)動器。攻擊者可以將容器部署到環(huán)境中，以促進執(zhí)行或逃避防御。有時他們會部署一個新的容器來執(zhí)行與特定映像或部署相關(guān)的進程，比如執(zhí)行或下載惡意軟件的進程。在其他情況下，攻擊者可能部署一個沒有配置網(wǎng)絡(luò)規(guī)則、用戶限制等的新容器，以繞過環(huán)境中現(xiàn)有的防御。

在這種情況下，快捷方式文件(.lnk)將執(zhí)行隨附的DLL，這將導致在主機上執(zhí)行Cobalt Strike Beacons。值得注意的是，DLL是隱藏文件，Cobalt Strike Beacons通過端口443向呼叫攻擊者的基礎(chǔ)設(shè)施。

行動演變

傳遞方式并不是這場行動中唯一的演變因素。在某次更具針對性的攻擊中，攻擊者沒有傳遞ISO有效負載，但用戶點擊鏈接后，Web服務(wù)器將對目標設(shè)備執(zhí)行分析。如果目標設(shè)備是蘋果iOS設(shè)備，用戶將被重定向到另一個由NOBELIUM控制的服務(wù)器，那里提供了對0 day漏洞CVE-2021-1879的漏洞利用。

在四月份的攻擊行動中，攻擊者停止了對Firebase的使用，并且不再跟蹤用戶，他們的技術(shù)轉(zhuǎn)向了在HTML文檔中對ISO進行編碼?，F(xiàn)在，有效負載通過使用api.ipify.org服務(wù)將目標主機的詳細信息存儲在遠程服務(wù)器上，攻擊者有時會對特定的內(nèi)部Active Directory域進行檢查，如果識別出意外的環(huán)境，這些域?qū)⒔K止惡意進程的執(zhí)行。

最新動態(tài)

5月25日，NOBELIUM行動出現(xiàn)了明顯的升級，攻擊者瞄準了150多個組織中的大約3,000個個人帳戶，目標受害者至少遍及 24 個國家，位于美國的組織受到的攻擊最多，至少有 1/4 的目標組織參與了國際發(fā)展、人道主義和人權(quán)工作。由于此行動中分發(fā)的電子郵件數(shù)量龐大，大部分都被郵件偵測系統(tǒng)封鎖并被標記為垃圾郵件，但仍可能有部分受害者中招。有效負載成功部署后，NOBELIUM 能夠持續(xù)訪問受感染的機器，并能夠進行后續(xù)的惡意活動，例如橫向移動、數(shù)據(jù)泄露或安裝其他惡意軟件。

IOC

MSTIC 提供了一份來自 2021 年 5 月 25 日發(fā)起的大規(guī)模攻擊活動的入侵指標列表。MSTIC 指出，當前NOBELIUM的攻擊仍然活躍，后續(xù)活動可能發(fā)生變化，不應(yīng)將這些指標視為詳盡無遺。

圖1.Malwarebytes 在攻擊前檢測到 Cobalt Strike 負載

圖2.Malwarebytes還阻止了域 theyardservice.com

本文翻譯自：https://blog.malwarebytes.com/threat-analysis/2021/05/solarwinds-attackers-launch-new-campaign/如若轉(zhuǎn)載，請注明原文地址。

網(wǎng)頁名稱：SolarWinds攻擊者新動態(tài)：全球超150 家機構(gòu)遭網(wǎng)絡(luò)攻擊
文章來源：http://www.dlmjj.cn/article/dpshgih.html