微软:SolarWinds 供应链攻击事件幕后黑手攻击全球24国政府
聚焦源代码安全,网罗国内外最新资讯!
编译:奇安信代码卫士
微软威胁情报中心 (MSTIC) 称,SolarWinds 供应链攻击幕后的俄罗斯黑客组织瞄准全球各政府机构,发动钓鱼攻击活动。
MSTIC 披露称,“本周我们发现威胁行动者 Nobelium 攻击各政府机构、智库、咨询机构和非政府组织机构。这波攻击针对位于150多个不同组织机构的3000多份邮件账户。虽然遭受攻击范围最广的是位于美国的组织机构,但受害者至少遍布24个国家。”
利用USAID 邮件营销账户发送钓鱼邮件
微软称这起攻击的幕后黑手是 Nobelium,可能受俄罗斯政府支持,它利用 USAID 受陷的 Constant Contact 账户(合法的邮件营销服务)发送钓鱼邮件。
这起攻击活动始于2021年1月,慢慢形成一系列攻击活动,在本周关于 USAID 主题的钓鱼活动中达到高潮。
网络安全公司 Volexity 发布报告,基于该组织在2018年使用的技术,将这起钓鱼活动和俄罗斯对外情报局 (SVR) 的操纵者(被称为 APT29、Cozy Bear 和 The Dukes)。
Nobelium 组织的感染链和恶意软件交付技术在这些攻击活动中在发展,攻击者将包含 HTML 附件的鱼叉式钓鱼活动信息将 ISO 文件释放到受害者的硬盘驱动中。
之后,受害者被诱骗打开其中的文件,执行捆绑在该文件中或存储在 ISO 图像中的 DLL,将 Cobalt Strike Beacon 加载在系统上。
微软指出,“如果受攻击设备是 Apple iOS 设备,则用户被重定向到受 NOBELIUM 控制下的另一台服务器,从而利用已修复 0day (CVE-2021-1879) 的exploit。成功部署这些 payload 可使 NOBELIUM 实现对已受陷系统的可持续访问权限。之后,成功执行这些恶意payload 可使 NOBELIUM 组织进行横向移动、数据提取和恶意软件交付等操作。”
SolarWinds 黑客
2020年12月,SolarWinds 网络管理公司遭网络攻击,使攻击者发动针对该公司客户的供应链攻击活动。
SolarWinds 事件幕后黑客针对客户群发动攻击,包括美国财富500强公司中的至少425家企业、美国十大通信公司、美国陆军所有分支、五角大楼、NASA、NSA、邮政服务、司法部以及美国总统办公室。
今年3月份,SolarWinds 称SolarWinds 供应链攻击至少花费350万美元,下一个财务期间可能会造成更多成本。其幕后黑手被称为 Nobelium(微软)、NC2452(火眼)、StellarParticle (CrowdStrike)、SolarStorm (Palo Alto Unit 42) 和 Dark Halo (Volexity)。
美国政府正式指责俄罗斯对外情报局(被称为 APT29、The Dukes 或 Cozy Bear)为幕后黑手,执行“大规模网络间谍活动”。今年2月份,微软表示,SolarWinds 黑客从数量有限的 Azure、Intune 和 Exchange 组件中下载了源代码。
具体报告可见:https://www.microsoft.com/security/blog/2021/05/27/new-sophisticated-email-based-attack-from-nobelium/
推荐阅读
俄罗斯被指为 SolarWinds 供应链事件元凶,技术公司受制裁,常用5大漏洞遭曝光
CISA:企业断网3到5天,赶走网络中的 SolarWinds 黑客
奇安信专家:近八成软件存开源漏洞 供应链需全生命周期安全防护
原文链接
https://www.bleepingcomputer.com/news/security/microsoft-russian-svr-hackers-target-govt-agencies-from-24-countries/
题图:Pixabay License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的
产品线。
觉得不错,就点个 “在看” 或 "赞” 吧~
微软:SolarWinds 供应链攻击事件幕后黑手攻击全球24国政府相关推荐
- java 事件链_供应链攻击事件——针对Github中Java项目的定向攻击
阅读: 1,446 前言 2020年5月28日,Github安全团队发表了文章称Github上存在一组代码仓库正在服务于感染了恶意代码的开源项目(https://securitylab.github. ...
- 史上最大规模黑客攻击事件曝光,数百万人的个人信息遭到泄露
最近一次史无前例的黑客攻击事件,令全球亿万人的个人信息遭到泄露.据报道,黑客组织 "暗影卫士" 攻击了全球最大的云计算服务提供商之一,窃取了该公司几百万用户的个人信息,包括姓名.电 ...
- HVV-Learning-区域边界网络下的攻击链路与攻击事件(BLAUKC)
目录 目录 1.前文提要 2.攻防演练/攻击活动中的特征 3.ATT&CK TTP描述的不足 4.区域边界网络架构下的核心攻击循环(BLA) 5.BLA和Unified Kill Chain统 ...
- Yearn攻击事件复盘:黑客完成5次DAI与USDT从3crv中存取操作后偿还闪电贷
Certik发布文章,复盘Yearn闪电贷攻击.北京时间2月5日凌晨,CertiK安全技术团队发现DeFi项目Yearn.Finance发生攻击事件,攻击总损失高达约7100万人民币,黑客从中获利约1 ...
- 【网络间谍篇】SolarWinds供应链攻击事件的来龙去脉
2020年11月底,FireEye的审查员在内部安全日志审计中发现一条安全警告:一位员工注册了一个新的手机号码接收双因素认证验证码.然而据该员工反馈,这段时间并未在系统中注册新的手机号码,FireEy ...
- 微软和火眼又分别发现SolarWinds 供应链攻击的新后门
聚焦源代码安全,网罗国内外最新资讯! 编译:奇安信代码卫士团队 火眼和微软再次发现SolarWinds 供应链攻击事件中的新后门. 火眼发现一个新后门 Sunshuttle 火眼从其中一个受陷组织机 ...
- SolarWinds供应链攻击事件带来的启示
SolarWinds供应链攻击事件带来的启示 一.概述 二.事件分析 1.SUNBURST后门 2.深入恶意软件分析 传播和安装 初始化 DGA和阻止列表 网络命令和控制(C2) 支持的命令 3.行为 ...
- 微软:攻击者利用SolarWinds Serv-U 0day发动 Log4j 攻击
聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 SolarWinds 攻击修复了由微软发现的被用于在内部设备上执行 Log4j 攻击的漏洞 (CVE-2021-35247). 微软指出在监控 ...
- SolarWinds 供应链攻击中的第四款恶意软件及其它动态
聚焦源代码安全,网罗国内外最新资讯! 编译:奇安信代码卫士团队 网络安全公司赛门铁克指出,从 SolarWinds 供应链攻击中找到了第四款恶意软件并将其命名为 Raindrop.之前找到的三款恶意 ...
最新文章
- [转]浅谈OCR之Tesseract
- matlab 单元,MATLAB单元阵列
- Springboot+Maven在IDEA中配置好Maven后执行Reimport时提示:com.google.inject.internal.Errors.throwCreationExceptio
- PHP红黑源码,红黑树的实现源码(第二次修订版)
- es6箭头函数_javascript-ES6函数进阶(箭头函数,默认参数)(笔记)
- vivo NEX 3新爆料:或预装Funtouch OS 9.1
- java时间格式24小时制12小时制
- 机器学习/深度学习测试题(二)—— 单层线性神经网络求解异或问题
- iphone电压测试软件,电压电击iPhone结果会怎样? 通过测试后, 照样可以正常开机...
- 【bzoj4940】这是我自己的发明
- 最近非常火的AI绘图(附操作方法)
- oracle北京时区,Oracle 时区 - Amazon Relational Database Service
- 纳什均衡(Nash equilibrium)及经典案例
- 散列表--双散列、再散列与可扩散列
- 网络安全9大思维的实战检验
- 计算机新建怎么没有表格,为什么新建找不到excle:为什么电脑新建项目里没有EXCEL表格?...
- Flare动画进阶——创建可互动的一拳超人动画
- JavaWeb-13 (购物车项目2)
- java部门管理_系统管理模块_部门管理_实现基本的增删改查功能
- 大文件分片上传前后端实现