攻擊者利用新的“NativeZone”后門進行網絡釣魚,涉及24個國家3000個賬戶
責編:gltian |2021-05-31 14:38:02在網絡攻擊者眼中,代碼漏洞意味著更好的作案手段和機會,他們無時不刻在尋找因代碼缺陷而導致的系統漏洞,看準時機就發起長時間的網絡攻擊。他們的目的或為了獲取贖金,或為了打擊報復,不管怎么說,他們的手段隨著網絡技術的發展也在不斷升級,檢測系統代碼漏洞是避免受到攻擊的有效防御手段。
微軟發布警告稱,在設法控制了美國國際開發署(USAID)的電子郵件營銷平臺Constant Contact賬戶后,Nobelium當前正在進行網絡釣魚活動。此次網絡釣魚行動的目標是約3000個政府機構、智庫、顧問和非政府組織有關的賬戶,美國收到了大部分惡意郵件,除此之外至少還涉及24個國家。
4月之前檢測到Nobelium對系統攻擊的另一種形式,Nobelium在電子郵件收件人單擊鏈接后嘗試對目標計算機進行性能分析。如果底層操作系統是 iOS,受害者將被重定向到第二個遠程服務器,以針對當時的零日CVE-2021-1879分發代碼漏洞利用。蘋果公司于 3 月 26 日解決了該代碼漏洞,承認“這個問題可能已被積極利用”。
在最新網絡釣魚活動中,這些看似真實的電子郵件包含一個鏈接,點擊該鏈接后,會發送惡意文件(“ICA-declass.iso”),其中包含一個誘餌文檔、一個快捷方式和帶有被微軟命名為NativeZone的Cobalt Strike Beacon加載器的惡意DLL。如果運行了快捷方式,將執行DLL并且Nobelium將進入運行狀態。成功部署這些有效負載可以幫助Nobelium持久訪問受感染的計算機。這些惡意負載被執行后,Nobelium將對目標采取行動,如橫向移動,泄露數據和安裝其他惡意軟件。
很明顯,Nobelium的策略之一就是獲得值得信賴的技術供應商,并感染他們的客戶。通過軟件更新及現存的大量電子郵件服務商,Nobelium在間諜活動中附帶破壞性攻擊,同時降低對技術生態系統的信任。
最新的攻擊進一步證明了網絡攻擊者對每個代碼漏洞使用獨特的基礎設施和工具的反復模式,從而為攻擊者提供了高度的隱蔽性,并使他們能夠在很長一段時間內不被發現。
Nobelium 的商業技術不斷發展的性質,也可能是對廣為人知的 SolarWinds 事件的直接反應,這表明攻擊者可以進一步繼續試驗他們的方法來實現目標。在太陽風(SolarWinds)供應鏈黑客事件中,網絡攻擊者在數以千計的組織中建立后門,然后挑選了9家美國聯邦機構和大約100家美國公司從中真正竊取信息,致使部分源代碼和客戶記錄被竊取。
Nobelium攻擊主要針對人權和人道主義組織,不難發現,網絡攻擊越來越成為民族國家實現各種政治目標的首選工具。隨著網絡技術的不斷發展,國際之間的競爭已經開拓到網絡領域,網絡安全問題亟需重視。在網絡發展的同時,及時進行代碼安全檢測,降低系統漏洞數量可以有效防范網絡攻擊維護網絡安全。
來源:FreeBuf.COM