天创培训:您身边的信息安全培训专家!
开班计划
CISP国家注册信息安全认证2021下半年开班计划
主讲老师   张老师
开课时间   6月,7月,8月
培训方式   线上课程+线下培训
授课天次   6
上课时间   6月,7月,8月
课程介绍 在线报名
CISP-PTE六月渗透测试实战特训开班啦
主讲老师   张老师
开课时间   6月
培训方式   线上课程+线下培训
授课天次   8
上课时间   6月17日-25日
课程介绍 在线报名
CISAW信息安全保障从业人员认证|培训通道已开启!!!
主讲老师   张老师
开课时间   3月
培训方式   线下培训
授课天次   
上课时间   3月
课程介绍 在线报名
CISP-PTE一月寒假训练营火热报名中
主讲老师   张老师
开课时间   1月
培训方式   线上课程+线下培训
授课天次   21
上课时间   1月
课程介绍 在线报名
行业动态您当前位置:首页 > 最新动态 > 行业动态

SolarWinds 黑客使用 NativeZone 后门攻击 24 个国家/地区

作者:天创培训  来源:px.tcnet.com.cn  更新时间:2021-06-03  关键词:SolarWinds ,黑客,NativeZone

微软已经 披露,SolarWinds 黑客或 SolarWinds 供应链攻击名声大噪的攻击者又开始行动了。这一次,他们的目标是 24 个国家的政府机构、顾问、智囊团和非政府组织。

微软的调查结果得到了网络安全公司 Volexity 的证实。研究显示,这一次,SolarWinds 的攻击者针对的是美国和欧洲的非政府组织、研究机构、政府和国际机构。

迄今已针对 150 多个组织

根据微软客户安全和信任公司副总裁 Tom Burt 的说法,最新一波攻击已经影响了 150 个不同的组织,目标大约为 150 家。3,000 个电子邮件帐户。

“至少有四分之一的目标组织参与了国际发展、人道主义和人权工作,”伯特在一篇博客文章中写道。

俄罗斯威胁演员涉嫌参与

微软声称俄罗斯威胁行为者被追踪为不同的身份,包括NobeliumAPT29UNC2452、Dark Halo、 SolarStorm 和 StellarParticle 可能是造成入侵的原因。攻击者被认为是连接俄罗斯情报服务。

“再加上对 SolarWinds 的攻击,很明显,Nobelium 的部分策略是获得可信赖的技术提供商的访问权并感染他们的客户。通过搭载软件更新和现在的大量电子邮件提供商,Nobelium 增加了间谍活动附带损害的机会,并破坏了对技术生态系统的信任,”伯特补充道。

它是如何工作的?

最近的攻击浪潮始于 2021 年 1 月,并在 5 月 25 日达到顶峰。攻击始于网络钓鱼活动,并利用名为 Constant Contact 的群发邮件服务。为了隐藏恶意活动,他们将其伪装成美国国际开发署。恶意网络钓鱼电子邮件被分发到各种垂直行业和组织。

SolarWinds ,黑客,NativeZone

这些看似无害的电子邮件包含一个链接,点击该链接后,会立即发送名为 ICA-declass.iso 的恶意光盘映像文件,并通过 Documents.dll 注入名为 NativeZone的自定义Cobalt Strike Beacon植入物。

SolarWinds ,黑客,NativeZone

它配备了持续访问维护、数据泄露功能,还可以安装额外的恶意软件。攻击的另一个变体是,Nobelium尝试在电子邮件收件人单击链接后启动目标机器分析。

如果目标系统是基于 iOS 的,受害者将被重定向到一个新的远程服务器,从那里将针对零日CVE-2021-1879分发漏洞利用程序Apple 已于 3 月 26 日解决了该问题。

(来源:HackRead)



推荐阅读

网站首页 |  关于天创 |  课程体系 |  最新动态 |  联系我们 |  网站地图 |  二维码
版权所有:江苏天创科技有限公司 苏ICP备16028135号-2
苏州总部地址:江苏省苏州市十梓街327号 电话:0512-65129087 传真:0512-65157410 邮编:215000
南京分公司地址:南京珠江路88号新世界中心A座 电话:025-84533276 传真:025-84533286 邮编:210000