[[402901]]

Nobelium是一種合成化學(xué)元素，為了紀(jì)念阿爾弗雷德·諾貝爾(Alfred Nobel)而命名，但它當(dāng)前又有了一層新的含義——被微軟命名為此前發(fā)動(dòng)過SolarWinds事件的幕后攻擊組織。SolarWinds事件堪稱2020年最嚴(yán)重的供應(yīng)鏈攻擊事件，導(dǎo)致九家聯(lián)邦機(jī)構(gòu)和數(shù)百家私營(yíng)企業(yè)數(shù)據(jù)泄露，美國(guó)白宮方面宣稱俄羅斯對(duì)外情報(bào)局應(yīng)為SolarWinds入侵事件負(fù)責(zé)，并直接宣布多項(xiàng)對(duì)俄羅斯的制裁措施。

近期，微軟威脅情報(bào)中心(MSTIC)發(fā)布警告稱，由NOBELIUM發(fā)起的大規(guī)模惡意電子郵件活動(dòng)正在肆虐。在此活動(dòng)中，NOBELIUM利用了合法的群發(fā)郵件服務(wù)Constant Contact，將自己偽裝成美國(guó)的某個(gè)開發(fā)組織，從而將惡意鏈接分發(fā)給各種組織和垂直行業(yè)。

活動(dòng)介紹

此次大規(guī)模電子郵件活動(dòng)利用了Constant Contact發(fā)送惡意鏈接，目標(biāo)受害者點(diǎn)擊釣魚郵件中的惡意鏈接后就會(huì)被植入惡意文件，該文件用于分發(fā)一個(gè)被稱為 NativeZone 的后門。這種后門可以使后續(xù)的惡意活動(dòng)成為可能，從竊取數(shù)據(jù)到橫向移動(dòng)感染網(wǎng)絡(luò)上的其他計(jì)算機(jī)等。

此次活動(dòng)最早開始于2021年1月28日，當(dāng)時(shí)攻擊者似乎在進(jìn)行早期偵察，利用Firebase URL來記錄點(diǎn)擊的目標(biāo)，且未觀察到惡意有效負(fù)載。隨著時(shí)間的推移，Nobelium試圖通過附加在魚叉式網(wǎng)絡(luò)釣魚電子郵件中的HTML文件來破壞系統(tǒng)，如果接收者打開了HTML附件，則HTML中的嵌入式JavaScript代碼會(huì)將一個(gè)ISO文件寫入磁盤，并誘導(dǎo)目標(biāo)用戶打開。

在整個(gè)三月期間，都有類似的魚叉式網(wǎng)絡(luò)釣魚活動(dòng)被檢測(cè)到，NOBELIUM也會(huì)根據(jù)預(yù)期目標(biāo)對(duì)HTML文檔進(jìn)行相應(yīng)修改。MSTIC表示，攻擊者會(huì)在HTML文檔中編碼ISO，ISO中的RTF文檔含有惡意Cobalt Strike Beacon DLL編碼。攻擊者將用一個(gè)URL替代HTML，前者指向的釣魚網(wǎng)站中包含欺騙目標(biāo)組織的ISO文件。

ISO有效負(fù)載

如上所述，有效負(fù)載是通過ISO文件傳送的。打開ISO文件時(shí)，它們的安裝方式很像外部驅(qū)動(dòng)器或網(wǎng)絡(luò)驅(qū)動(dòng)器。攻擊者可以將容器部署到環(huán)境中，以促進(jìn)執(zhí)行或逃避防御。有時(shí)他們會(huì)部署一個(gè)新的容器來執(zhí)行與特定映像或部署相關(guān)的進(jìn)程，比如執(zhí)行或下載惡意軟件的進(jìn)程。在其他情況下，攻擊者可能部署一個(gè)沒有配置網(wǎng)絡(luò)規(guī)則、用戶限制等的新容器，以繞過環(huán)境中現(xiàn)有的防御。

在這種情況下，快捷方式文件(.lnk)將執(zhí)行隨附的DLL，這將導(dǎo)致在主機(jī)上執(zhí)行Cobalt Strike Beacons。值得注意的是，DLL是隱藏文件，Cobalt Strike Beacons通過端口443向呼叫攻擊者的基礎(chǔ)設(shè)施。

行動(dòng)演變

傳遞方式并不是這場(chǎng)行動(dòng)中唯一的演變因素。在某次更具針對(duì)性的攻擊中，攻擊者沒有傳遞ISO有效負(fù)載，但用戶點(diǎn)擊鏈接后，Web服務(wù)器將對(duì)目標(biāo)設(shè)備執(zhí)行分析。如果目標(biāo)設(shè)備是蘋果iOS設(shè)備，用戶將被重定向到另一個(gè)由NOBELIUM控制的服務(wù)器，那里提供了對(duì)0 day漏洞CVE-2021-1879的漏洞利用。

在四月份的攻擊行動(dòng)中，攻擊者停止了對(duì)Firebase的使用，并且不再跟蹤用戶，他們的技術(shù)轉(zhuǎn)向了在HTML文檔中對(duì)ISO進(jìn)行編碼?，F(xiàn)在，有效負(fù)載通過使用api.ipify.org服務(wù)將目標(biāo)主機(jī)的詳細(xì)信息存儲(chǔ)在遠(yuǎn)程服務(wù)器上，攻擊者有時(shí)會(huì)對(duì)特定的內(nèi)部Active Directory域進(jìn)行檢查，如果識(shí)別出意外的環(huán)境，這些域?qū)⒔K止惡意進(jìn)程的執(zhí)行。

最新動(dòng)態(tài)

5月25日，NOBELIUM行動(dòng)出現(xiàn)了明顯的升級(jí)，攻擊者瞄準(zhǔn)了150多個(gè)組織中的大約3,000個(gè)個(gè)人帳戶，目標(biāo)受害者至少遍及 24 個(gè)國(guó)家，位于美國(guó)的組織受到的攻擊最多，至少有 1/4 的目標(biāo)組織參與了國(guó)際發(fā)展、人道主義和人權(quán)工作。由于此行動(dòng)中分發(fā)的電子郵件數(shù)量龐大，大部分都被郵件偵測(cè)系統(tǒng)封鎖并被標(biāo)記為垃圾郵件，但仍可能有部分受害者中招。有效負(fù)載成功部署后，NOBELIUM 能夠持續(xù)訪問受感染的機(jī)器，并能夠進(jìn)行后續(xù)的惡意活動(dòng)，例如橫向移動(dòng)、數(shù)據(jù)泄露或安裝其他惡意軟件。

IOC

MSTIC 提供了一份來自 2021 年 5 月 25 日發(fā)起的大規(guī)模攻擊活動(dòng)的入侵指標(biāo)列表。MSTIC 指出，當(dāng)前NOBELIUM的攻擊仍然活躍，后續(xù)活動(dòng)可能發(fā)生變化，不應(yīng)將這些指標(biāo)視為詳盡無遺。

圖1.Malwarebytes 在攻擊前檢測(cè)到 Cobalt Strike 負(fù)載

圖2.Malwarebytes還阻止了域 theyardservice.com

本文翻譯自：https://blog.malwarebytes.com/threat-analysis/2021/05/solarwinds-attackers-launch-new-campaign/如若轉(zhuǎn)載，請(qǐng)注明原文地址。