SolarWinds黑客利用新的“NativeZone”后门攻击智库

微软周四披露，SolarWinds供应链黑客背后的威胁参与者回到了威胁领域，以包括美国在内的24个国家的政府机构、智库、顾问和非政府组织为目标。

被选中的一些实体包括美国大西洋理事会、欧洲安全与合作组织（欧安组织）、乌克兰反腐败行动中心（ANTAC）、欧盟反腐败委员会和爱尔兰政府外交部。

微软负责客户安全和信任的公司副总裁汤姆·伯特（Tom Burt）说：“这一波攻击针对150多个不同组织的大约3000个电子邮件帐户。”。“至少四分之一的目标组织参与了国际发展、人道主义和人权工作。”

微软将持续的入侵归咎于其追踪的俄罗斯威胁行为人Nobelium，以及更广泛的网络安全社区，其绰号为APT29、UNC2452（FireEye）、SolarStorm（42单元）、StellarParticle（Crowdstrike）、Dark Halo（Volexity）和Iron Rice（Secureworks）。

一系列入侵的最新浪潮据说是在2021年1月28日开始的，之后在5月25日达到新的升级水平。这些攻击利用了一个名为“持续联系”的合法群发邮件服务来掩盖其恶意活动，并伪装成美国开发组织美国国际开发署（USAID），开展大规模的网络钓鱼活动，将网络钓鱼电子邮件分发给各种组织和垂直行业。

伯特说：“Nobelium通过访问美国国际开发署的持续联系账户发起了本周的攻击。”。

这些看似真实的电子邮件中包含一个链接，点击该链接时，会发送一个恶意光盘图像文件（“ICA declass.iso”），以注入一个名为NativeZone（“Documents.dll”）的定制钴打击信标植入物。后门类似于以前的定制恶意软件，如Raindrop和Teardrop，配备了保持持久访问、进行横向移动、过滤数据和安装其他恶意软件的功能。

在4月之前检测到的另一种定向攻击中，Nobelium尝试在电子邮件收件人点击链接后分析目标机器。在底层操作系统被证明是iOS的情况下，受害者被重定向到第二台远程服务器，以便为当时零日的CVE-2021-1879发送攻击。苹果在3月26日解决了这个漏洞，承认“这个问题可能被积极利用”

网络安全公司Secureworks和Volexity证实了这一发现，他们表示，这场运动专门针对美国、乌克兰和欧盟的非政府组织、研究机构、政府实体和国际机构。

“反恐组研究人员观察到的一组非常狭窄和具体的电子邮件标识符和组织，强烈表明这场运动的重点是外国情报机构感兴趣的美国和欧洲外交和政策使团，”Secureworks反威胁小组的研究人员指出。

最新的攻击进一步证明了威胁行为人经常对每个目标使用独特的基础设施和工具，从而使攻击者具有高度的隐蔽性，并使他们能够在较长时间内不被发现。

Nobelium不断演变的工艺也可能是对广为宣传的太阳林事件的直接回应，这表明攻击者可能会进一步试验他们的方法，以达到他们的目标。

伯特说：“当与太阳林受到的攻击结合在一起时，很明显Nobelium的策略之一就是接触到值得信任的技术供应商，并感染他们的客户。”。“Nobelium依靠软件更新和现在的大量电子邮件提供商，增加了间谍活动中附带损害的可能性，并破坏了对技术生态系统的信任。”