微软上周指出,主导SolarWinds供应链攻击行动的俄罗斯黑客集团Nobelium,其实从2019年以来便陆续展开攻击,除了SolarWinds攻击之外,最新的一波出现在5月25日,Nobelium通过邮件营销平台Constant Contact发送恶意邮件给全球150个组织,而且其中一个例子还利用了美国国际开发局(USAID)的Constant Contact账号。
根据微软的关注,Nobelium的攻击目标涵盖了政府组织、非政府组织(NGO)、智库组织、军方、IT服务供应商、健康科技与研究机构,以及电信企业,目的是窃取各种情报。
Constant Contact为一美国的线上营销企业,主要协助各大组织发送营销电子邮件,这次Nobelium利用了Constant Contact平台,发送恶意邮件给全球24个国家超过150个组织的3,000个电子邮件账号,其中至少有1/4的组织涉及国际发展、人道主义与人权运行。
在这波攻击中,Nobelium取得了USAID所使用的Constant Contact账号,并以USAID的名义发送网络钓鱼邮件,邮件内容是个警告,表示“川普已公布了有关选举诈骗的新文件”(Donald Trump has published new documents on election fraud),并嵌入两个连接,一个是查看文件,另一个则是访问USAID网站。
图片来源_微软
不管是点击了哪个连接,用户都会先被跳转至合法的Constant Contact服务,再被转至由黑客掌控的网址,接着就会被植入一个恶意的ISO文件,让黑客于受害者系统上部署长驻能力,之后再伺机于受害者的系统上横向移动、窃取资料,或者是传送更多的恶意程序。
微软也公布了Nobelium此波攻击行动的入侵指标,包括收到来自ashainfo@usaid.gov或mhillary@usaid.gov的邮件,或是在系统上侦测到恶意的ISO文件与Cobalt Strike Beacon恶意程序,以及由黑客所掌控的域名。
微软指出,从Nobelium以往的行动来看,该集团采用一贯的攻击策略,先取得可靠技术供应商的访问能力,再进一步危害这些供应商的客户。