主導SolarWinds攻擊的俄羅斯駭客集團Nobelium透過郵件行銷平臺Constant Contact，發送惡意郵件予全球150個組織

微軟上周指出，主導SolarWinds供應鏈攻擊行動的俄羅斯駭客集團Nobelium，其實從2019年以來便陸續展開攻擊，除了SolarWinds攻擊之外，最新的一波出現在5月25日，Nobelium透過郵件行銷平臺Constant Contact發送惡意郵件予全球150個組織，而且其中一個例子還利用了美國國際開發署（USAID）的Constant Contact帳號。

根據微軟的追蹤，Nobelium的攻擊目標涵蓋了政府組織、非政府組織（NGO）、智庫組織、軍方、IT服務供應商、健康科技與研究機構，以及電信業者，目的是竊取各種情報。

Constant Contact為一美國的線上行銷業者，主要協助各大組織發送行銷電子郵件，這次Nobelium利用了Constant Contact平臺，發送惡意郵件予全球24個國家逾150個組織的3,000個電子郵件帳號，當中至少有1/4的組織涉及國際發展、人道主義與人權運作。

在這波攻擊中，Nobelium取得了USAID所使用的Constant Contact 帳號，並以USAID的名義發送網釣郵件，郵件內容是個警告，表示「川普已公布了有關選舉詐騙的新文件」（Donald Trump has published new documents on election fraud），並嵌入兩個連結，一個是檢視文件，另一個則是造訪USAID網站。

圖片來源_微軟

不管是點選了哪個連結，使用者都會先被導至合法的Constant Contact服務，再被轉至由駭客掌控的網址，接著就會被植入一個惡意的ISO檔案，讓駭客於受害者系統上部署長駐能力，之後再伺機於受害者的系統上橫向移動、竊取資料，或者是遞送更多的惡意程式。

微軟也公布了Nobelium此波攻擊行動的入侵指標，包括收到來自ashainfo@usaid.gov或mhillary@usaid.gov的郵件，或是在系統上偵測到惡意的ISO檔案與Cobalt Strike Beacon惡意程式，以及由駭客所掌控的網域。

微軟指出，從Nobelium以往的行動來看，該集團採用一貫的攻擊策略，先取得可靠技術供應商的存取能力，再進一步危害這些供應商的客戶。