文章详情

短信预约-IT技能 免费直播动态提醒

请输入下面的图形验证码

提交验证

短信预约提醒成功

犯罪分子冒充美国国际开发署进行网络钓鱼攻击

2024-12-03 04:01

关注

臭名昭著的SolarWinds攻击背后的网络犯罪集团再次发动了一场大规模的复杂的电子邮件攻击活动,邮件中带有有效载荷的恶意URL,这样使得攻击者能够进行进一步的攻击活动。

微软威胁情报中心(MSTIC)于1月下旬开始跟踪Nobelium(以前称为Solarigate)的这一最新的攻击活动。根据微软365防御者威胁情报小组的一篇博文称,当时该团伙还处于侦察阶段,并且观察到它 "一直在发生演变"。

周二,研究人员开始观察到这一攻击行为已经开始升级,因为威胁攻击集团开始伪装成一个总部设在美国的开发组织,使用合法的群发邮件服务Constant Contact传播包含恶意的URLs的电子邮件。攻击者的目标是各行各业的组织。

除了极具破坏性的SolarWinds事件外,Nobelium还是Sunburst后门、Teardrop恶意软件和GoldMax恶意软件背后的攻击组织。该组织历来以各种社会组织为攻击目标,包括政府机构、非政府组织、智囊团、军队、IT服务提供商、卫生技术和研究公司及团体,以及电信供应商。

最新的攻击活动正在进行中,攻击目标是150多个组织的3000个个人账户,研究人员说:"犯罪团伙会采用一种既定的模式,然后为每个目标使用不同的基础设施和攻击工具,使得他们能够在较长的时间内不被发现"。

在SolarWinds攻击中,Nobelium通过将木马伪装成软件更新服务向全球近18000个组织推送定制的Sunburst后门,从而能够成功感染目标。通过这种方式,2020年3月就一直在进行的攻击直到12月也仍未被发现,这使得攻击者有更多的时间进一步渗透该组织,并导致了一场很严重的网络间谍活动,这大大影响了美国政府和科技公司的信息安全。

他们说,那次攻击和这次最新的攻击活动之间有一些关键的区别,研究人员将其归因于 "攻击人员的技术的改变"。

一直在变化的战术

MSTIC观察到Nobelium在其最新的攻击过程中多次改变攻击的策略。在完成最初的侦察之后,该组织从2月到4月就发动了一系列的鱼叉式网络钓鱼活动,他们的目的是为了通过电子邮件中的HTML附件来入侵系统。

据研究人员观察,在这几个月中,该组织对电子邮件和HTML文件以及感染受害者机器的方式都进行了修改。

最初,在目标用户打开恶意文件后,HTML中的JavaScript会将一个ISO文件写入磁盘并指导用户打开它。研究人员说,这将实现ISO文件的挂载,而其中一个快捷方式文件(LNK)将执行一个附带的DLL文件,从而使得Cobalt Strike Beacon在系统中执行。

在4月份的更新迭代中,Nobelium从Firebase中删除了ISO文件,而将其编码在HTML文档中;将HTML文档重定向到包含RTF文档的ISO文件中,该文档中编码了恶意的Cobalt Strike Beacon DLL。

研究人员说,该攻击活动在5月份开始变得很频繁,当时该组织开始利用Constant Contact针对150多个组织的大约3000个个人账户进行攻击。

研究人员指出:"最近由于大量的攻击活动,安全系统阻止了大部分的电子邮件,并将它们标记为了垃圾邮件。"然而,该系统可能在早期已经将一些的电子邮件传递给了收件人。

使用邮件群发服务

研究人员指出,正是在攻击的这一阶段,Nobelium开始冒充一个名为美国国际开发署(USAID)的组织,并成功伪造成了一个与标准Constant Contact服务一样的发件人电子邮件地址。每个收件人的地址都不一样,并且都以 < @in.constantcontact.com > 结尾,回复地址为 < mhillary@usaid.gov >。

这些邮件声称是美国国际开发署发出的警报,内容是前总统唐纳德-特朗普公布的有关 "选举作弊 "的文件,特朗普声称这些行为导致他在2020年选举中输给了总统乔-拜登。

据研究人员称,如果用户点击了电子邮件上的链接,该URL将引导他们进入到合法的Constant Contact服务,然后通过一个提供恶意ISO文件的URL重定向到了Nobelium控制的基础设施。

研究人员指出:"点击LNK文件时最终会执行'C:\Windows\system32\rundll32.exe ,这些有效载荷的成功部署使Nobelium能够对被攻击系统的持久性访问”。

他们补充说,这种持久性也使该组织能够进行进一步的恶意攻击,如横向移动、数据渗出和投放恶意软件等活动。

MSTIC推荐了一些应对该攻击活动的措施,这些方法可以帮助组织识别它是否会成为攻击目标或其系统是否存在潜在的被感染的风险。

本文翻译自:https://threatpost.com/solarwinds-nobelium-phishing-attack-usaid/166531/如若转载,请注明原文地址。

 

来源:嘶吼网内容投诉

免责声明:

① 本站未注明“稿件来源”的信息均来自网络整理。其文字、图片和音视频稿件的所属权归原作者所有。本站收集整理出于非商业性的教育和科研之目的,并不意味着本站赞同其观点或证实其内容的真实性。仅作为临时的测试数据,供内部测试之用。本站并未授权任何人以任何方式主动获取本站任何信息。

② 本站未注明“稿件来源”的临时测试数据将在测试完成后最终做删除处理。有问题或投稿请发送至: 邮箱/279061341@qq.com QQ/279061341

软考中级精品资料免费领

  • 历年真题答案解析
  • 备考技巧名师总结
  • 高频考点精准押题
  • 2024年上半年信息系统项目管理师第二批次真题及答案解析(完整版)

    难度     813人已做
    查看
  • 【考后总结】2024年5月26日信息系统项目管理师第2批次考情分析

    难度     354人已做
    查看
  • 【考后总结】2024年5月25日信息系统项目管理师第1批次考情分析

    难度     318人已做
    查看
  • 2024年上半年软考高项第一、二批次真题考点汇总(完整版)

    难度     435人已做
    查看
  • 2024年上半年系统架构设计师考试综合知识真题

    难度     224人已做
    查看

相关文章

发现更多好内容

猜你喜欢

AI推送时光机
位置:首页-资讯-后端开发
咦!没有更多了?去看看其它编程学习网 内容吧
首页课程
资料下载
问答资讯