攻擊者利用新的“NativeZone”後門進行網路釣魚,涉及24個國家3000個賬戶

zktq2021發表於2021-06-01

在網路攻擊者眼中,程式碼漏洞意味著更好的作案手段和機會,他們無時不刻在尋找因程式碼缺陷而導致的系統漏洞,看準時機就發起長時間的網路攻擊。他們的目的或為了獲取贖金,或為了打擊報復,不管怎麼說,他們的手段隨著網路技術的發展也在不斷升級,檢測系統程式碼漏洞是避免受到攻擊的有效防禦手段。

微軟釋出警告稱,在設法控制了美國國際開發署(USAID)的電子郵件營銷平臺Constant Contact賬戶後,Nobelium當前正在進行網路釣魚活動。此次網路釣魚行動的目標是約3000個政府機構、智庫、顧問和非政府組織有關的賬戶,美國收到了大部分惡意郵件,除此之外至少還涉及24個國家。

4月之前檢測到Nobelium對系統攻擊的另一種形式,Nobelium在電子郵件收件人單擊連結後嘗試對目標計算機進行效能分析。如果底層作業系統是 iOS,受害者將被重定向到第二個遠端伺服器,以針對當時的零日CVE-2021-1879分發程式碼漏洞利用。蘋果公司於 3 月 26 日解決了該程式碼漏洞,承認“這個問題可能已被積極利用”。

在最新網路釣魚活動中,這些看似真實的電子郵件包含一個連結,點選該連結後,會傳送惡意檔案(“ICA-declass.iso”),其中包含一個誘餌文件、一個快捷方式和帶有被微軟命名為NativeZone的Cobalt Strike Beacon載入器的惡意DLL。如果執行了快捷方式,將執行DLL並且Nobelium將進入執行狀態。成功部署這些有效負載可以幫助Nobelium持久訪問受感染的計算機。這些惡意負載被執行後,Nobelium將對目標採取行動,如橫向移動,洩露資料和安裝其他惡意軟體。

很明顯,Nobelium的策略之一就是獲得值得信賴的技術供應商,並感染他們的客戶。透過軟體更新及現存的大量電子郵件服務商,Nobelium在間諜活動中附帶破壞性攻擊,同時降低對技術生態系統的信任。

最新的攻擊進一步證明了網路攻擊者對每個程式碼漏洞使用獨特的基礎設施和工具的反覆模式,從而為攻擊者提供了高度的隱蔽性,並使他們能夠在很長一段時間內不被發現。

Nobelium 的商業技術不斷髮展的性質,也可能是對廣為人知的 SolarWinds 事件的直接反應,這表明攻擊者可以進一步繼續試驗他們的方法來實現目標。在太陽風(SolarWinds)供應鏈駭客事件中,網路攻擊者在數以千計的組織中建立後門,然後挑選了9家美國聯邦機構和大約100家美國公司從中真正竊取資訊,致使部分原始碼和客戶記錄被竊取。

Nobelium攻擊主要針對人權和人道主義組織,不難發現,網路攻擊越來越成為民族國家實現各種政治目標的首選工具。隨著網路技術的不斷髮展,國際之間的競爭已經開拓到網路領域,網路安全問題亟需重視。在網路發展的同時,及時進行 靜態程式碼安全檢測 ,降低系統漏洞數量可以有效防範網路攻擊維護網路安全。


來自 “ ITPUB部落格 ” ,連結:http://blog.itpub.net/70000012/viewspace-2774880/,如需轉載,請註明出處,否則將追究法律責任。

相關文章