SolarWinds事件的幕後駭客Nobelium又來襲!微軟警示駭客利用NativeZone後門攻擊了24個國家/150 多個組織, CISA 與FBI發布聯合警告。

Key Points:

*微軟警告說SolarWinds事件的幕後駭客已經又發起了最新一波的大型網路攻擊

*名為 Nobelium 的駭客組織上週針對全球 24 個國家/地區的 150 多個組織使用的3000 個電子郵件帳戶,發送假裝來自美國國際開發署的惡意電子郵件。

*Nobelium 植入名為NativeZone的後門

*大部分惡意電子郵件已被阻止並標記為垃圾郵件,但有些已進入目標公司的網路

感染鏈流程 Photo Credit: 微軟

5 月 27 日微軟在博客中示警,SolarWinds事件的幕後駭客已經對政府機構、智庫組織、和非政府組織 (NGO)發起了新一輪的網路釣魚攻擊。駭客組織 Nobelium(又名APT 29,,Dark Halo,UNC2452,Cozy Bear等)將 150多個不同組織,大約 3,000 個的電子郵件帳戶作為目標。“雖然美國組織受到的攻擊比例最大,但目標受害者至少跨越 24 個國家。至少有四分之一的目標組織參與了國際發展、人道主義和人權工作,”微軟指出。它還進一步補充說,這些網路攻擊似乎是為情報收集而進行的。  據稱,一系列入侵中的最新一波始於 2021 年 1 月 28 日,並於5月25日達到頂峰。

微軟在解釋網路攻擊是如何進行的時候說,Nobelium 是通過存取美國國際開發署(United States Agency for International Development, USAID)的 Constant Contact 帳戶來發起攻擊的。Constant Contact 是一種用於發送行銷電子郵件的平臺,從這裡攻擊者能分發這些看似真實但包含惡意連結的網路釣魚電子郵件,點擊該連結後,連結會傳送一個惡意的ISO檔案( ICA-declass.iso),來分發名為NativeZone的後門,該後門含自定義Cobalt Strike Beacon ( Documents.dll),使駭客具有在受害者系統上部署長駐能力,並能進行橫向移動,洩露數據以及安裝其他惡意程式的功能。

微軟說​​這場網路攻擊引人注目的原因有以下三個:

1.NOBELIUM繼續在重要的組織中尋求入侵方法,這將為大規模間諜活動打開大門,就像SolarWinds事件一樣。

2.這次,駭客似乎以許多人道主義和人權組織為目標,這些組織以前很少成為目標。

3. 無論國家領導人之間的小規模衝突和出於確切原因實施制裁,APT駭客的攻擊都沒有顯示出任何放緩的跡象。

在微軟示警後,美國國土安全部網路安全暨基礎安全局(CISA) 與聯邦調查局(FBI)聯合發布了代號為AA21-148A的警告,同時公佈有關入侵指標( IOCs) 和MITRE ATT&CK手法。

有關情資:

https://otx.alienvault.com/pulse/60afece345be6dfd2a66ea3c

SolarWinds事件又有新進展,微軟和FireEye分別發表技術報告,微軟發現3個新的惡意軟體分別為GoldMax, Sibot, GoldFinger,FireEye發現新的後門程式SUNSHUTTLE

微軟命名SolarWinds事件的幕後駭客為”NOBELIUM”

微軟和FireEye的研究人員分別披露了發現去年12月份SolarWinds事件的駭客組織使用了其他的惡意軟體。

FireEye的報告只詳細描述有一個惡意軟體,而根據微軟的報告,總共發現了三種新的惡意軟體,這三個惡意軟體分別是:

GoldMax : 基於Go的後門程式,攻擊者用來執行在安裝了惡意軟體之前已經遭到破壞的系統上執行各種命令,充當攻擊者的C2後門,GoldMax還可以部署誘餌的網路流量,允許惡意程式碼及其通信混入正常的網路流量中。FireEye報告中以SUNSHUTTLE的名稱詳細介紹了該惡意軟體,SUNSHUTTLE一樣用Go編寫,並且該第二階段後門具有一些逃避檢測的功能。該惡意程式碼似乎於2020年8月由位於美國的一家實體上載到惡意軟體存儲庫上。

GoldMax的封包特徵

Sibot : 一種VBScript惡意軟體,它旨在受感染的設備上實現持久性,然後從C2伺服器下載並執行其他payloads,發現Sibot有三種不同的變種。

Sibot 的變種

GoldFinger : 另一個基於Go的惡意軟體。這是一個自定義HTTP跟踪器工具,用於檢測伺服器和重導(如受感染設備與C2伺服器之間的網路安全設備)。

之前已公佈過SolarWinds駭客使用的惡意軟體,包括:

Sunspot : 駭客在SolarWinds的內部網路中部署的惡意軟體,可以破壞Orion應用程式的構建過程。

Solorigate(Sunburst) : 在SolarWinds Orion應用程式中引入的惡意軟體在2020年3月至2020年6月之間進行了更新。該惡意軟體充當偵察工具,可幫助威脅者識別他們以後要瞄準的公司。

Teardrop : Teardrop通過Sunburst在選定網路上部署的惡意軟體,充當執行其他命令的後門。

Raindrop :在某些網路不部署Teardrop而部署Raindrop,充當第二階段後門。

新的惡意軟體是為受害者網路量身定制的

微軟表示,在其一些客戶的網路上發現了三種新的惡意軟體(GoldMax, Sibot, GoldFinger)在某些情況下,發現惡意軟體可追溯到2020年6月,而在其他情況下,惡意軟體的使用可追溯到2020年9月。

此外,惡意軟體還通過不同的方法植入。一些客戶通過受感染的SolarWinds Orion應用程式更新而受到入侵,而其他客戶則在駭客獲得了對該公司內部網路的合法憑據的訪問權限後,也感染了相同的惡意軟體。

無論採用哪種方式,無論最初的訪問媒介如何,微軟都表示,惡意軟體與SolarWinds的事件有關,微軟今天首次使用代號Nobelium命名SolarWinds事件的駭客。

“它們是為特定網路量身定制的,經過評估,是在參與者通過受到破壞的憑據或SolarWinds二進製檔獲得訪問權之後,以及在通過TEARDROP和其他手動鍵盤操作橫向移動之後引入的” Microsoft描述了這三種惡意軟體。

Microsoft補充說:“這些功能不同於以前已知的NOBELIUM工具和攻擊模式,並重申了駭客的複雜性。”

“在攻擊的所有階段,參與者都表現出對網路中常見的軟體工具,部署,安全軟體和系統以及事件回應團隊經常使用的技術的深入了解。”

今年1月5日,美國四個政府機構正式將SolarWinds供應鏈攻擊描述為“可能源於俄羅斯”。

針對美國實體的新第二階段後門GoldMax/SUNSHUTTLE的情資 :

https://otx.alienvault.com/pulse/60413cd1bb43dcf1d22c274b

更多有關資訊:

https://www.microsoft.com/security/blog/2021/03/04/goldmax-goldfinder-sibot-analyzing-nobelium-malware/

https://www.fireeye.com/blog/threat-research/2021/03/sunshuttle-second-stage-backdoor-targeting-us-based-entity.html