مایکروسافت می گوید هکرهای SolarWinds در یک کارزار جدید آژانس های آمریکایی را هدف قرار داده اند


مایکروسافت می گوید هکرهای SolarWinds در یک کارزار جدید آژانس های آمریکایی را هدف قرار داده اند

مایکروسافت گفت ، هکرهای مورد حمایت کرملین که مشتری های SolarWinds را در یک حمله زنجیره تأمین هدف قرار داده اند ، در حال اجرای یک کمپین ایمیل مخرب هستند که لینک های مربوط به بدافزار را به 150 سازمان دولتی ، موسسات تحقیقاتی و سازمان های دیگر در ایالات متحده و 23 کشور دیگر ارائه می دهد. .

هکرهای متعلق به سرویس اطلاعات خارجی روسیه ابتدا موفق شدند حساب متعلق به USAID ، آژانس دولتی ایالات متحده که کمک های غیرنظامی غیرنظامی و توسعه را اداره می کند ، به خطر بیاندازند. با کنترل حساب آژانس برای شرکت بازاریابی آنلاین Constant Contact ، هکرها توانستند ایمیل هایی ارسال کنند که به نظر می رسد از آدرس هایی که متعلق به آژانس آمریکایی است استفاده می کنند.

جایزه نوبل متولد شد

معاون امنیت مشتری مشتری و اعتماد تامس مایکروسافت نوشت: “از آنجا ، بازیگر توانست ایمیل های فیشینگ را توزیع کند که به نظر واقعی می آمد اما دارای پیوندی بود که با کلیک روی آن ، یک فایل مخرب که برای پخش درب پشتی استفاده می شود ، قرار می گیرد که ما آن را NativeZone می نامیم.” پنجشنبه شب برت. “این درپشتی می تواند طیف گسترده ای از فعالیت ها را از سرقت داده تا آلوده کردن رایانه های دیگر در شبکه فعال کند.”

این کارزار توسط گروهی انجام شد که مایکروسافت آن را نوبلیوم می نامد و همچنین با نام های APT29 ، خرس دنج و دوک شناخته می شود. شرکت امنیتی کسپرسکی گفت که بدافزار این گروه به سال 2008 برمی گردد ، در حالی که سیمانتک گفت که هکرها حداقل از سال 2010 دولت ها و سازمان های دیپلماتیک را هدف قرار داده اند.

دسامبر گذشته ، محبوبیت نوبل با کشف این که گروه عامل نقض ویرانگر SolarWinds ، سازنده ابزارهای مدیریت شبکه در آستین ، تگزاس بود ، به اوج جدیدی رسید. هکرها پس از به خطر انداختن کامل سیستم توسعه و توزیع نرم افزار SolarWinds ، با استفاده از ابزاری به نام Orion ، به روزرسانی های مخرب را در حدود 18000 مشتری توزیع کردند. مقامات کاخ سفید گفتند که هکرها سپس از به روزرسانی ها برای به خطر انداختن 9 آژانس فدرال و حدود 100 شرکت بخش خصوصی استفاده کردند.

خاطره ای از گذشته

روز سه شنبه ، نوبلیوم 3000 آدرس ایمیل مختلف را منفجر کرد که قرار بود سیگنال ویژه ای از USAID درباره اسناد جدید منتشر شده توسط رئیس جمهور سابق ترامپ در مورد تقلب در انتخابات ارسال کند. یکی از ایمیل ها به این شکل بود:

مایکروسافت

مایکروسافت گفت ، افرادی که روی پیوند کلیک کردند ابتدا به خدمات تماس دائمی قانونی منتقل شدند ، اما به زودی به فایلی که در سرورهای متعلق به نوبلیوم میزبانی شده بود هدایت شدند. پس از هدایت اهداف ، جاوا اسکریپت باعث شد دستگاه های بازدید کننده به طور خودکار نوعی فایل بایگانی را که به عنوان تصویر ISO شناخته می شود ، بارگیری کنند.

همانطور که در تصویر زیر نشان داده شده است ، این تصویر شامل یک فایل PDF ، یک فایل LNK به نام Reports و یک فایل DLL به نام Documents است که به طور پیش فرض پنهان است.

مایکروسافت

مایکروسافت

وقتی یک هدف روی پرونده Reports کلیک کرد ، PDF را به عنوان طعمه باز کرد و DLL را در پس زمینه اجرا کرد. DLL ، به نوبه خود ، درب پشت NativeZone را نصب کرد ، که در یک پست جداگانه منتشر شده توسط Microsoft Threat Intelligence Center یا MSTIC اعلام کرد که به نوبلیوم اجازه می دهد به طور دائمی به ماشین های در معرض خطر دسترسی پیدا کند تا این گروه “بتواند مانند جابجایی جانبی اقدام کند” ، فیلتر کردن داده ها و تحویل بدافزارهای اضافی. “

حمله روز سه شنبه آخرین حمله ای بود که به گفته MSTIC یک کمپین گسترده اسپم مخرب است که از اواخر ژانویه آغاز شد. از آن زمان ، این کمپین به یک سری تکرار تبدیل شده است که “آزمایش های قابل توجه” را نشان می دهد.

مایکروسافت برای اولین بار این کمپین را دید ، میزبان Firebase ISO بود ، یک بستر ابری برای برنامه های موبایل و وب متعلق به Google. مایکروسافت گفت ، در طی این تکرار اولیه ، تصویر ISO حاوی محموله مخربی نبوده است ، که محققان این شرکت را به این نتیجه رسانده است که هدف “ضبط ویژگی های کسانی است که به URL دسترسی دارند”. در مرحله بعد ، این کمپین ایمیل هایی را ارسال می کند که حاوی یک فایل HTML هستند. با باز شدن ، JavaScript یک تصویر ISO را روی دیسک نوشت و هدف را به باز کردن آن تشویق کرد.

جریان از آخرین مرحله حمله به این شکل بود:

مایکروسافت

iOS صفر

نوبلیوم به آزمایشات مختلف ادامه داد. محموله ایزو اصلاً در یک موج تحویل نشده است. در عوض ، یک وب سرور کنترل شده توسط نوبل دستگاه مورد نظر را پروفایل می کند. درصورتی که دستگاه مورد نظر آیفون یا آیپد باشد ، یک سرور سو explo استفاده ای را ارائه می دهد که پس از آن صفر روز برای CVE-2021-1879 بود ، این یک آسیب پذیری iOS است که به هکرها امکان می دهد حمله اسکریپت جهانی را به سایت های مختلف انجام دهند. اپل روز صفر را در پایان ماه مارس افزایش داد.

پست MSTIC پنجشنبه شب ادامه داشت:

این آزمایش در بیشتر مبارزات انتخاباتی ادامه داشت ، اما در آوریل 2021 شروع به تشدید کرد. در طول موج های آوریل ، بازیگر از استفاده از Firebase منصرف شد و دیگر کاربران را با استفاده از یک URL خاص ردیابی نمی کرد. تکنیک های آنها به کدگذاری ISO در سند HTML منتقل شده اند و وظیفه دارند جزئیات مربوط به میزبان مورد نظر را در یک سرور از راه دور با استفاده از سرویس api.ipify.org ذخیره کنند. بازیگر گاهی از دامنه های خاص Active Directory داخلی استفاده می کند که در صورت شناسایی یک محیط پیش بینی نشده ، روند مخرب را متوقف می کند.

در ماه مه 2021 ، بازیگر بار دیگر تکنیک ها را تغییر داد و ترکیب HTML و ISO را حفظ کرد ، اما کاشت اولیه NET سفارشی را منتشر کرد که به عنوان TrojanDownloader کشف شد: MSIL / BoomBox ، که اطلاعات مبتنی بر میزبان را گزارش می کند و بارهای اضافی را از ابر Dropbox بازیابی می کند. سکوی ذخیره سازی

در 25 مه ، مبارزات NOBELIUM به طور قابل توجهی افزایش یافت. NOBELIUM با استفاده از سرویس پیام رسان انبوه مشاغل ثابت ، سعی کرده است 3000 حساب شخصی را در بیش از 150 سازمان هدف قرار دهد. به دلیل فعالیت های گسترده ، سیستم های خودکار اکثر ایمیل ها را مسدود کرده و به عنوان هرزنامه علامت گذاری می کردند. با این حال ، سیستم های خودکار ممکن است برخی از ایمیل های قبلی گیرندگان را با موفقیت تحویل دهند.

در همین حال ، شرکت امنیتی Volexity روز پنجشنبه انتشار خود را منتشر کرد که جزئیات بیشتری را ارائه می دهد. در این میان: پرونده Documents.DLL برای حضور جعبه های ماسه امنیتی و ماشین های مجازی ، ماشین های هدف تأیید شده ای ارائه کرده است ، همانطور که در اینجا نشان داده شده است:

سمی بودن

هر دو MSTC و Volexity تعدادی از شاخص های داد و ستد را ارائه دادند که سازمان ها می توانند برای تعیین هدف قرار گرفتن در این کمپین استفاده کنند. MSTC همچنان هشدار داد که تشدید این هفته احتمالاً آخرین موردی نیست که برای نوبلیوم یا مبارزات ایمیل فعلی آن شاهد خواهیم بود.

پست MSTC در پایان گفت: “محققان امنیتی مایکروسافت تخمین می زنند که عملیات فیشینگ زیر آب نوبل تکرار می شود و بر تعداد و دامنه آنها افزوده شده است.” “انتظار می رود که این گروه بتواند فعالیتهای اضافی را با استفاده از مجموعه تغییر تاکتیک ها انجام دهد.”


منبع: tarjome-news.ir

Leave a reply

You may use these HTML tags and attributes: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>