5月28日，微軟威脅情報(bào)中心(MSTIC)發(fā)現(xiàn)，SolarWinds事件背后的攻擊者正在進(jìn)行一場針對全球政府機(jī)構(gòu)的網(wǎng)絡(luò)釣魚運(yùn)動(dòng)。
MSTIC表示，黑客組織Nobelium針對政府機(jī)構(gòu)、智庫、顧問和非政府組織的網(wǎng)絡(luò)攻擊。這波攻擊針對150多個(gè)不同組織的大約3000個(gè)電子郵件賬戶。雖然美國的組織受到的攻擊最多，但目標(biāo)受害者遍及至少24個(gè)國家。
該活動(dòng)始于2021年1月，慢慢演變成一系列攻擊，上周以美國國際開發(fā)署為主題的網(wǎng)絡(luò)釣魚浪潮達(dá)到高潮。
網(wǎng)絡(luò)安全公司Volexity也發(fā)布了一份報(bào)告，將這次網(wǎng)絡(luò)釣魚活動(dòng)與俄羅斯外國情報(bào)機(jī)構(gòu)(SVR)的運(yùn)營商(追蹤為APT29、Cozy Bear和The Dukes)聯(lián)系在一起，這些網(wǎng)絡(luò)釣魚活動(dòng)使用的戰(zhàn)術(shù)可以追溯到2018年。
Nobelium是如何讓受害者中招的。
Nobelium 組織的感染鏈和惡意軟件交付技術(shù)在這些攻擊活動(dòng)中在發(fā)展，攻擊者將包含 HTML 附件的魚叉式釣魚活動(dòng)信息將 ISO 文件釋放到受害者的硬盤驅(qū)動(dòng)中。
之后，受害者被誘騙打開其中的文件，執(zhí)行捆綁在該文件中或存儲在 ISO 圖像中的 DLL，將 Cobalt Strike Beacon 加載在系統(tǒng)上。
如果目標(biāo)設(shè)備是蘋果iOS設(shè)備，則用戶被重定向到受 NOBELIUM 控制下的另一臺服務(wù)器，從而利用已修復(fù) 0day (CVE-2021-1879) 的exploit。成功部署這些 payload 可使 NOBELIUM 實(shí)現(xiàn)對已受陷系統(tǒng)的可持續(xù)訪問權(quán)限。之后，成功執(zhí)行這些惡意載荷對受害目標(biāo)進(jìn)行橫向移動(dòng)、數(shù)據(jù)竊取和傳遞額外等行動(dòng)。
很明顯，政業(yè)都在被攻擊之列，而系統(tǒng)漏洞、軟件漏洞是入侵的入口，電子郵件則很好的成為了黑客們的切入系統(tǒng)的主要方式。
對企業(yè)而言，尤其是負(fù)責(zé)保護(hù)網(wǎng)絡(luò)的信息安全部門，需要更加清楚認(rèn)識到攻擊者可輕易利用電子郵件進(jìn)行攻擊，因?yàn)殡娮余]件是商務(wù)溝通最常見的形式，也是容易被高度信任的通信方式。所以，保護(hù)電郵安全極其重要。
新網(wǎng)企業(yè)郵箱作為國內(nèi)專業(yè)的郵件安全提供商，全系采用分布式集群部署，高擴(kuò)展能力的CACHE系統(tǒng)，保障服務(wù)不間斷。對郵件數(shù)據(jù)從信息源頭上進(jìn)行保護(hù)，全方位杜絕郵件收發(fā)、存儲中被竊取或賬號密碼被盜，設(shè)備漏洞、系統(tǒng)漏洞、服務(wù)器被攻擊等引發(fā)的郵件數(shù)據(jù)泄露，全面保障企業(yè)通信安全.