微軟上周指出,主導SolarWinds供應鏈攻擊行動的俄羅斯駭客集團Nobelium,其實從2019年以來便陸續展開攻擊,除了SolarWinds攻擊之外,最新的一波出現在5月25日,Nobelium透過郵件行銷平臺Constant Contact發送惡意郵件予全球150個組織,而且其中一個例子還利用了美國國際開發署(USAID)的Constant Contact帳號。

根據微軟的追蹤,Nobelium的攻擊目標涵蓋了政府組織、非政府組織(NGO)、智庫組織、軍方、IT服務供應商、健康科技與研究機構,以及電信業者,目的是竊取各種情報。

Constant Contact為一美國的線上行銷業者,主要協助各大組織發送行銷電子郵件,這次Nobelium利用了Constant Contact平臺,發送惡意郵件予全球24個國家逾150個組織的3,000個電子郵件帳號,當中至少有1/4的組織涉及國際發展、人道主義與人權運作。

在這波攻擊中,Nobelium取得了USAID所使用的Constant Contact 帳號,並以USAID的名義發送網釣郵件,郵件內容是個警告,表示「川普已公布了有關選舉詐騙的新文件」(Donald Trump has published new documents on election fraud),並嵌入兩個連結,一個是檢視文件,另一個則是造訪USAID網站。

圖片來源_微軟

不管是點選了哪個連結,使用者都會先被導至合法的Constant Contact服務,再被轉至由駭客掌控的網址,接著就會被植入一個惡意的ISO檔案,讓駭客於受害者系統上部署長駐能力,之後再伺機於受害者的系統上橫向移動、竊取資料,或者是遞送更多的惡意程式。

微軟也公布了Nobelium此波攻擊行動的入侵指標,包括收到來自ashainfo@usaid.govmhillary@usaid.gov的郵件,或是在系統上偵測到惡意的ISO檔案與Cobalt Strike Beacon惡意程式,以及由駭客所掌控的網域。

微軟指出,從Nobelium以往的行動來看,該集團採用一貫的攻擊策略,先取得可靠技術供應商的存取能力,再進一步危害這些供應商的客戶。


熱門新聞

Advertisement