臭名昭著的SolarWinds攻擊背后的網絡犯罪集團再次發動了一場大規模的復雜的電子郵件攻擊活動，郵件中帶有有效載荷的惡意URL，這樣使得攻擊者能夠進行進一步的攻擊活動。

　　微軟威脅情報中心（MSTIC）于1月下旬開始跟蹤Nobelium（以前稱為Solarigate）的這一最新的攻擊活動。根據微軟365防御者威脅情報小組的一篇博文稱，當時該團伙還處于偵察階段，并且觀察到它 “一直在發生演變”。

　　周二，研究人員開始觀察到這一攻擊行為已經開始升級，因為威脅攻擊集團開始偽裝成一個總部設在美國的開發組織，使用合法的群發郵件服務Constant Contact傳播包含惡意的URLs的電子郵件。攻擊者的目標是各行各業的組織。

　　除了極具破壞性的SolarWinds事件外，Nobelium還是Sunburst后門、Teardrop惡意軟件和GoldMax惡意軟件背后的攻擊組織。該組織歷來以各種社會組織為攻擊目標，包括政府機構、非政府組織、智囊團、軍隊、IT服務提供商、衛生技術和研究公司及團體，以及電信供應商。

　　最新的攻擊活動正在進行中，攻擊目標是150多個組織的3000個個人賬戶，研究人員說：“犯罪團伙會采用一種既定的模式，然后為每個目標使用不同的基礎設施和攻擊工具，使得他們能夠在較長的時間內不被發現”。

　　在SolarWinds攻擊中，Nobelium通過將木馬偽裝成軟件更新服務向全球近18000個組織推送定制的Sunburst后門，從而能夠成功感染目標。通過這種方式，2020年3月就一直在進行的攻擊直到12月也仍未被發現，這使得攻擊者有更多的時間進一步滲透該組織，并導致了一場很嚴重的網絡間諜活動，這大大影響了美國政府和科技公司的信息安全。

　　他們說，那次攻擊和這次最新的攻擊活動之間有一些關鍵的區別，研究人員將其歸因于 “攻擊人員的技術的改變”。

　　一直在變化的戰術

　　MSTIC觀察到Nobelium在其最新的攻擊過程中多次改變攻擊的策略。在完成最初的偵察之后，該組織從2月到4月就發動了一系列的魚叉式網絡釣魚活動，他們的目的是為了通過電子郵件中的HTML附件來入侵系統。

　　據研究人員觀察，在這幾個月中，該組織對電子郵件和HTML文件以及感染受害者機器的方式都進行了修改。

　　最初，在目標用戶打開惡意文件后，HTML中的JavaScript會將一個ISO文件寫入磁盤并指導用戶打開它。研究人員說，這將實現ISO文件的掛載，而其中一個快捷方式文件（LNK）將執行一個附帶的DLL文件，從而使得Cobalt Strike Beacon在系統中執行。

　　在4月份的更新迭代中，Nobelium從Firebase中刪除了ISO文件，而將其編碼在HTML文檔中；將HTML文檔重定向到包含RTF文檔的ISO文件中，該文檔中編碼了惡意的Cobalt Strike Beacon DLL。

　　研究人員說，該攻擊活動在5月份開始變得很頻繁，當時該組織開始利用Constant Contact針對150多個組織的大約3000個個人賬戶進行攻擊。

　　研究人員指出：“最近由于大量的攻擊活動，安全系統阻止了大部分的電子郵件，并將它們標記為了垃圾郵件。”然而，該系統可能在早期已經將一些的電子郵件傳遞給了收件人。

　　使用郵件群發服務

　　研究人員指出，正是在攻擊的這一階段，Nobelium開始冒充一個名為美國國際開發署（USAID）的組織，并成功偽造成了一個與標準Constant Contact服務一樣的發件人電子郵件地址。每個收件人的地址都不一樣，并且都以 < @in.constantcontact.com > 結尾，回復地址為 < mhillary@usaid.gov >。

　　這些郵件聲稱是美國國際開發署發出的警報，內容是前總統唐納德-特朗普公布的有關 “選舉作弊 ”的文件，特朗普聲稱這些行為導致他在2020年選舉中輸給了總統喬-拜登。

　　據研究人員稱，如果用戶點擊了電子郵件上的鏈接，該URL將引導他們進入到合法的Constant Contact服務，然后通過一個提供惡意ISO文件的URL重定向到了Nobelium控制的基礎設施。

　　研究人員指出：“ 點擊LNK文件時最終會執行‘C :\ W i n d o w s \ s y s t e m 3 2 \ rundll32.exe ，這些有效載荷的成功部署使 Nobelium 能夠對被攻擊系統的持久性訪問”。

　　他們補充說，這種持久性也使該組織能夠進行進一步的惡意攻擊，如橫向移動、數據滲出和投放惡意軟件等活動。

　　MSTIC推薦了一些應對該攻擊活動的措施，這些方法可以幫助組織識別它是否會成為攻擊目標或其系統是否存在潛在的被感染的風險。