Nobelium是一种合成化学元素,符号NO和原子编号102.它以纪念Alfred Nobel命名。但它也是威胁演员的名字,这是对攻击的影响SolarWinds, 这森伯斯特后门,泪珠的恶意软件,goldmax恶意软件,其他相关组件

微软威胁情报中心(MSTIC)发布了一个警告,称它发现了一个由诺贝尔运作的大规模恶意电子邮件活动在这一竞选活动中,诺贝里姆利用了合法的批量邮寄服务恒定联系。这使得威胁演员伪装成伪装成美国的开发组织,以将恶意网址分配给各种各样的组织和行业垂直。

这个活动

这种新的广泛电子邮件广告系列利用了合法的服务常量联系人发送恶意链接,因为它们在邮寄服务的URL后面被遮挡。许多类似的服务使用这种类型的机制来简化文件的共享,同时提供谁以及点击链接时的见解。

找到最有效的交付方法

这些活动的早期开始首先注意到2021年1月28日,当时演员似乎只是通过发送电子邮件的跟踪部分进行早期侦察,杠杆化Firebase.录制点击的目标的URL。在此早期活动中未观察到恶意有效载荷。

在该活动的下一步发展中,MSTIC表示,他们观察到NOBELIUM试图通过一个附在鱼钩式网络钓鱼电子邮件上的HTML文件来破坏系统。如果接收者打开了HTML附件,HTML中嵌入的JavaScript代码将一个ISO文件写入磁盘,并鼓励目标打开它。

在三月期间检测到类似的矛网络钓鱼活动,其中包括Nobelium演员基于预期目标对HTML文档进行了几次改变。MSTIC表示,它观察了在HTML文档本身内编码ISO的演员;从HTML文档重定向到ISO,其中包含RTF文档,具有在其中编码的恶意钴罢工信标DLL;并使用导致欺骗目标组织并托管ISO文件的网站的URL替换HTML。

ISO有效载荷

正如我们上面所说,有效载荷通过ISO文件传递。打开ISO文件时,它们将像外部或网络驱动器一样安装。威胁演员可以将容器部署到环境中以促进执行或逃避防御。有时它们会部署一个新的容器以执行与特定图像或部署相关联的进程,例如执行或下载恶意软件的进程。在其他人中,威胁演员可以部署在没有网络规则的情况下配置的新容器,用户限制等以绕过环境中的现有防御。在这种情况下,快捷文件(.lnk.)将执行一个相应的DLL,这将导致在主机上执行一个Cobalt Strike Beacon。值得注意的是,DLL是一个隐藏文件。钴打击信标通过443端口呼叫攻击者的基础设施。

试验有效载荷

在这场运动中,配送方式并不是唯一的演变因素。在一个更有针对性的波中,没有提供ISO有效载荷,但在用户点击链接后,由参与者控制的web服务器会对目标设备进行额外的分析。如果目标设备是苹果iOS设备,用户会被重定向到NOBELIUM控制下的另一个服务器,在那里已经打了补丁的零日漏洞cve - 2021 - 1879是服务的。

在4月份的wave中,该威胁行为者停止使用Firebase,不再跟踪用户。他们的技术转向在HTML文档中编码ISO。目标主机详细信息现在通过负载存储在远程服务器上api.ipify.org服务。威胁演员有时会使用检查是否有特定的内部Active Directory域,该域将终止执行恶意进程的执行,如果确定了意外环境。

最新的激增

5月25日,诺贝尔奖活动被注意到显著升级,试图针对150多个组织的约3000个个人账户。由于在这次活动中分发了大量的电子邮件,许多自动电子邮件威胁检测系统拦截了大部分恶意电子邮件,并将它们标记为垃圾邮件。然而,由于配置和策略设置,或者在检测到位之前,一些自动威胁检测系统可能已经成功地将一些早期的电子邮件发送给了收件人。

目标

成功部署的有效载荷使Nobelium能够获得对受损机器的持久访问。成功执行这些恶意有效载荷还将使得Nobelium进行进一步的恶意活动,例如横向运动,数据exfiltration和额外恶意软件的交付。

妥协指标(IOCs)

在其警告,MSTIC提供了从2021年5月25日推出的大规模活动的妥协指标列表。该组织指出攻击仍然有效,这些指标不应被视为对此观察到的活动进行详尽的。

必威平台APP恶意软件在攻击前检测到钴击的有效载荷
orardservice.com.
必威平台APPMalwarebytes还屏蔽了域名theyardservice.com

保持安全,每个人!