【安全资讯】NOBELIUM组织与针对法国实体的钓鱼活动有关
引言
自2021年2月以来,法国国家网络安全机构(ANSSI)发现了一系列针对法国实体的网络钓鱼活动。攻击者成功破坏了法国机构的电子邮件账户,然后利用这些账户向外国机构发送武器化电子邮件。这一系列钓鱼活动的技术指标与Nobelium组织的攻击活动相关,且与2020年的SOLARWINDS供应链攻击之间的TTP具有一定重叠。
简况
Nobelium APT组织是SolarWinds事件的攻击者,是俄罗斯外国情报局 (SVR) 支持的黑客组织,也被称为APT29、Cozy Bear和The Dukes。Nobelium 是2020 年 7 月至 2021 年 6 月期间最活跃的俄罗斯黑客组织。
ssi发布安全警告
Nobelium 在针对法国实体的攻击中使用的基础设施由来自不同托管公司的虚拟专用服务器 (VPS) 组成。攻击者似乎偏爱位于目标国家附近的服务器,C2中的几个IP地址属于法国机房OVH。
部署Cobalt Strike的样本中,攻击者使用的域名类似于合法域名,模仿了信息和新闻网站。在大多数情况下,攻击者在NAMESILO和NAMECHEA平台注册其域名。
Nobelium组织自2021年5月以来一直在开展持续性的攻击活动,目标是美国和欧洲的至少140家组织,其中14家企业的系统已被破坏。Nobelium 还针对 Active Directory 联合服务 (AD FS) 服务器,试图使用一种名为 FoggyWeb 的新型被动且高度针对性的后门攻击美国和欧洲的政府、智囊团和私营公司。
总结
网络钓鱼活动攻击依赖于打开恶意文件附件,因此ANSSI建议用户不要执行可疑文件。法国网络安全机构还建议有风险的组织使用其Active Directory安全加固指南加强Active Directory安全。