微软：SolarWinds 供应链攻击事件幕后黑手攻击全球24国政府

 聚焦源代码安全，网罗国内外最新资讯！

编译：奇安信代码卫士

微软威胁情报中心 (MSTIC) 称，SolarWinds 供应链攻击幕后的俄罗斯黑客组织瞄准全球各政府机构，发动钓鱼攻击活动。

MSTIC 披露称，“本周我们发现威胁行动者 Nobelium 攻击各政府机构、智库、咨询机构和非政府组织机构。这波攻击针对位于150多个不同组织机构的3000多份邮件账户。虽然遭受攻击范围最广的是位于美国的组织机构，但受害者至少遍布24个国家。”

利用USAID 邮件营销账户发送钓鱼邮件

微软称这起攻击的幕后黑手是 Nobelium，可能受俄罗斯政府支持，它利用 USAID 受陷的 Constant Contact 账户（合法的邮件营销服务）发送钓鱼邮件。

这起攻击活动始于2021年1月，慢慢形成一系列攻击活动，在本周关于 USAID 主题的钓鱼活动中达到高潮。   

网络安全公司 Volexity 发布报告，基于该组织在2018年使用的技术，将这起钓鱼活动和俄罗斯对外情报局 (SVR) 的操纵者（被称为 APT29、Cozy Bear 和 The Dukes）。

Nobelium 组织的感染链和恶意软件交付技术在这些攻击活动中在发展，攻击者将包含 HTML 附件的鱼叉式钓鱼活动信息将 ISO 文件释放到受害者的硬盘驱动中。

之后，受害者被诱骗打开其中的文件，执行捆绑在该文件中或存储在 ISO 图像中的 DLL，将 Cobalt Strike Beacon 加载在系统上。

微软指出，“如果受攻击设备是 Apple iOS 设备，则用户被重定向到受 NOBELIUM 控制下的另一台服务器，从而利用已修复 0day (CVE-2021-1879) 的exploit。成功部署这些 payload 可使 NOBELIUM 实现对已受陷系统的可持续访问权限。之后，成功执行这些恶意payload 可使 NOBELIUM 组织进行横向移动、数据提取和恶意软件交付等操作。”

SolarWinds 黑客

2020年12月，SolarWinds 网络管理公司遭网络攻击，使攻击者发动针对该公司客户的供应链攻击活动。

SolarWinds 事件幕后黑客针对客户群发动攻击，包括美国财富500强公司中的至少425家企业、美国十大通信公司、美国陆军所有分支、五角大楼、NASA、NSA、邮政服务、司法部以及美国总统办公室。

今年3月份，SolarWinds 称SolarWinds 供应链攻击至少花费350万美元，下一个财务期间可能会造成更多成本。其幕后黑手被称为 Nobelium（微软）、NC2452（火眼）、StellarParticle (CrowdStrike)、SolarStorm (Palo Alto Unit 42) 和 Dark Halo (Volexity)。

美国政府正式指责俄罗斯对外情报局（被称为 APT29、The Dukes 或 Cozy Bear）为幕后黑手，执行“大规模网络间谍活动”。今年2月份，微软表示，SolarWinds 黑客从数量有限的 Azure、Intune 和 Exchange 组件中下载了源代码。

具体报告可见：https://www.microsoft.com/security/blog/2021/05/27/new-sophisticated-email-based-attack-from-nobelium/

推荐阅读

俄罗斯被指为 SolarWinds 供应链事件元凶，技术公司受制裁，常用5大漏洞遭曝光

CISA：企业断网3到5天，赶走网络中的 SolarWinds 黑客

奇安信专家：近八成软件存开源漏洞 供应链需全生命周期安全防护

原文链接

https://www.bleepingcomputer.com/news/security/microsoft-russian-svr-hackers-target-govt-agencies-from-24-countries/

题图：Pixabay License

本文由奇安信编译，不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的

产品线。

    觉得不错，就点个 “在看” 或 "赞” 吧~