法国国家网络安全机构 ANSSI 今天表示,去年 SolarWinds 黑客事件背后的俄罗斯支持的 Nobelium 黑客组织自 2021 年 2 月以来一直针对法国组织。
虽然 ANSSI(Agence Nationale de la Sécurité des Systèmes d’Information 的缩写)尚未确定 Nobelium 如何破坏属于法国组织的电子邮件帐户,但它补充说,黑客利用它们发送针对外国机构的恶意电子邮件。
反过来,法国公共组织也是从属于外国实体的服务器发送的欺骗电子邮件的目标,据信被同一威胁行为者破坏。
Nobelium 在针对法国实体的攻击中使用的基础设施主要是使用来自不同托管公司的虚拟专用服务器 (VPS) 设置的(偏爱来自 OVH 且位于目标国家附近的服务器)。
“在 ANSSI 监控的网络钓鱼活动与 2020 年 SOLARWINDS 供应链攻击之间的策略、技术和程序 (TTP) 中发现了重叠,”ANSSI在今天发布的一份报告中解释说。
为了抵御该黑客组织的攻击,ANSSI 建议限制电子邮件附件的执行以阻止网络钓鱼活动中传递的恶意文件。
法国网络安全机构还建议有风险的组织使用其Active Directory 安全强化指南加强 Active Directory 安全(尤其是 AD 服务器)。
Nobelium 及其备受瞩目的目标
去年导致多个美国联邦机构遭到破坏的 SolarWinds 供应链攻击背后的黑客组织Nobelium是俄罗斯外国情报局 (SVR) 的黑客部门,也被追踪为 APT29、The Dukes 或 Cozy Bear .
美国政府在 4 月份正式指责 SVR 部门策划了袭击 SolarWinds 的“广泛的网络间谍活动”。
网络安全公司 Volexity 还根据从 2018 年开始的事件中观察到的策略,将这些攻击与同一威胁行为者联系起来。
5 月,微软威胁情报中心 (MSTIC) 分享了一项针对来自全球24 个国家/地区的政府机构的 Nobelium 网络钓鱼活动的信息。
正如微软最近几个月进一步报道的那样,Nobelium 仍在瞄准全球 IT 供应链,自 2021 年 5 月以来已经攻击了 140 家托管服务提供商 (MSP) 和云服务提供商,并至少入侵了 14 家。
Nobelium 还针对 Active Directory 联合服务 (AD FS) 服务器,试图使用一种名为 FoggyWeb 的新型被动且高度针对性的后门来危害美国和欧洲的政府、智囊团和私营公司。
微软在 10 月份透露,Nobelium 是2020 年 7 月至 2021 年 6 月期间最活跃的俄罗斯黑客组织,它协调了微软向客户发送的有关俄罗斯威胁活动的 92% 警报背后的攻击。
今天早些时候,Mandiant 将黑客组织与企图破坏世界各地政府和企业网络的行为联系起来,方法是使用名为 Ceeloader的新后门瞄准他们的 MSP,该后门旨在部署更多恶意软件并收集对俄罗斯具有政治利益的敏感信息。
扫一扫
402
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
