微软已经 披露，SolarWinds 黑客或 SolarWinds 供应链攻击名声大噪的攻击者又开始行动了。这一次，他们的目标是 24 个国家的政府机构、顾问、智囊团和非政府组织。

微软的调查结果得到了网络安全公司 Volexity 的证实。研究显示，这一次，SolarWinds 的攻击者针对的是美国和欧洲的非政府组织、研究机构、政府和国际机构。

迄今已针对 150 多个组织

根据微软客户安全和信任公司副总裁 Tom Burt 的说法，最新一波攻击已经影响了 150 个不同的组织，目标大约为 150 家。3,000 个电子邮件帐户。

“至少有四分之一的目标组织参与了国际发展、人道主义和人权工作，”伯特在一篇博客文章中写道。

俄罗斯威胁演员涉嫌参与

微软声称俄罗斯威胁行为者被追踪为不同的身份，包括Nobelium、APT29。UNC2452、Dark Halo、 SolarStorm 和 StellarParticle 可能是造成入侵的原因。攻击者被认为是连接俄罗斯情报服务。

“再加上对 SolarWinds 的攻击，很明显，Nobelium 的部分策略是获得可信赖的技术提供商的访问权并感染他们的客户。通过搭载软件更新和现在的大量电子邮件提供商，Nobelium 增加了间谍活动附带损害的机会，并破坏了对技术生态系统的信任，”伯特补充道。

它是如何工作的？

最近的攻击浪潮始于 2021 年 1 月，并在 5 月 25 日达到顶峰。攻击始于网络钓鱼活动，并利用名为 Constant Contact 的群发邮件服务。为了隐藏恶意活动，他们将其伪装成美国国际开发署。恶意网络钓鱼电子邮件被分发到各种垂直行业和组织。

这些看似无害的电子邮件包含一个链接，点击该链接后，会立即发送名为 ICA-declass.iso 的恶意光盘映像文件，并通过 Documents.dll 注入名为 NativeZone的自定义Cobalt Strike Beacon植入物。

它配备了持续访问维护、数据泄露功能，还可以安装额外的恶意软件。攻击的另一个变体是，Nobelium尝试在电子邮件收件人单击链接后启动目标机器分析。

如果目标系统是基于 iOS 的，受害者将被重定向到一个新的远程服务器，从那里将针对零日CVE-2021-1879分发漏洞利用程序，Apple 已于 3 月 26 日解决了该问题。

（来源：HackRead）