SolarWinds黑客再出手,目标锁定微软 – 作者:sanfenqiantu

6月25日,微软发布一篇博文称,他们发现SolarWinds事件背后的黑客组织Nobelium入侵了微软的客户支持系统,并成功破坏了至少三个实体。

1624858923_60d9612b780c42c9f1b5f.png!small

微软威胁情报中心表示他们发现了Nobelium组织一直在进行密码喷洒攻击和蛮力攻击,以获取对一些公司网络的访问权限。

密码喷洒:对密码进行喷洒式的攻击,属于自动化密码猜测的一种。该攻击手法会对所有用户同时执行特定的密码登录尝试,增加破解的几率并且避免账户被锁定。

蛮力攻击:又称穷举攻击或暴力破解,是一种密码分析的方法。即将密码进行逐个推算直到找出真正的密码为止。

不过,微软表示,该组织的大部分攻击都没有成功,目前只有三个实体已确定被该组织破坏。

在这次攻击活动中,Nobelium针对的目标主要为IT公司(57%),其次是政府组织(20%),非政府组织、智库、以及金融业占较小的比例。

此外,以被攻击者的所属国家来看,美国企业被攻击比例最高,约占45%,其次是占比10%的英国,以及针对德国和加拿大企业的少量攻击。据统计,共有36个国家成为此次攻击的目标。

黑客入侵微软客户支持系统

在对此次攻击进行调查的期间,微软还发现,一名微软客服人员的电脑被Nobelium组织入侵。据调查,该客服人员的电脑上被安装了一个能够窃取信息的木马程序。

由于该电脑可以访问少数客户的基本账户信息,所以微软认为,黑客将会利用从中收集到的信息,对特定的微软客户进行“高针对性”的钓鱼攻击。

据路透社报道,Nobelium组织在5月下半旬访问了这些账户信息,其中包括账单联系信息、客户支付服务以及其他项目。

1624858935_60d9613763a3782f08ea3.png!small

目前,微软已针对此次攻击做出了相关响应,删除了该设备的访问权限并对其进行保护。此外,微软正在通知所有受影响的客户,并提供支持以保护他们的账户安全。

Nobelium组织背景

Nobelium组织,也被称为 APT29、Cozy Bear 和 The Dukes。被认为是SolarWinds供应链攻击事件的始作俑者。

不久前,该组织还被曝劫持了美国国际开发署(USAID)的 Constant Contact 帐户。美国国际开发署是一个负责提供对外援助和发展援助的美国机构。

1624858943_60d9613f932942d9356b0.png!small

由 Nobelium组织发送的 USAID 钓鱼邮件

该组织利用该账户进行了有针对性的网络钓鱼攻击,以分发恶意软件并访问内部网络。

参考

bleepingcomputer

cnbeta

microsoft

来源:freebuf.com 2021-06-28 13:42:49 by: sanfenqiantu

© 版权声明
THE END
喜欢就支持一下吧
点赞0
分享
评论 抢沙发

请登录后发表评论