支持黑客针对SolarWinds客户供应链攻击被进行恶意电子邮件运动malware-laced链接到150年交付政府机构、研究机构和其他组织在美国和23个其他国家,微软说。
黑客,属于俄罗斯对外情报局,首先设法一个帐户属于妥协美国国际开发署美国政府机构管理民用外国援助和发展援助。与控制机构的账户在线营销公司不断接触,黑客有能力似乎使用的发送电子邮件地址属于美国机构。
锘是本地
“从这里开始,演员能够分发网络钓鱼电子邮件看起来真实但包含一个链接,点击后,插入一个恶意文件用于分发后门NativeZone,”微软客户安全和信任的副总裁汤姆·伯特中写道帖子周四晚上发表。“这后门可以使一个广泛的活动从偷窃数据,感染其他电脑网络。”
这场运动是由一群,微软称锘,也称为APT29舒适的熊,族长。安全公司卡巴斯基曾说过恶意软件属于集团可以追溯到2008年,而赛门铁克曾说过黑客已经针对政府和外交组织至少自2010年以来。有更多关于这组的怪异和老派的编码特征在这里。 去年12月,锘的名声达到了一个新的高发现背后的集团严重违反SolarWinds德克萨斯州奥斯丁,制造商网络管理工具。后彻底妥协SolarWinds”软件开发和分配系统,黑客的攻击分布式恶意更新约18000客户使用工具,它名叫猎户座。黑客使用的更新妥协9个联邦机构和大约100私营企业,白宫官员说。安全公司FireEye说,除了美国国际开发署的内容、使用的黑客组织各种诱惑,包括外交笔记和大使馆的邀请。它接着说,运动目标的政府智库和相关组织一直是传统的集中操作进行的外国情报服务,这称为SVR。
“虽然SolarWinds活动引人注目的隐形和纪律,大声,广泛spearphishing操作曾经SVR运营商的名片,经常开展嘈杂的钓鱼活动,”约翰·Hultquist分析的副总裁FireEye-owned Mandiant威胁情报,在一封电子邮件中说。“这些操作通常是有效的,获得主要的政府机关以及其他目标。鱼叉式网络钓鱼电子邮件很快被确定,我们希望任何post-compromise行动,这些演员将高技术和隐形。”
爆炸从过去
周二,锘炮轰3000个不同的地址,电子邮件,目的是为了提供一个特殊的警戒级别从美国国际开发署有关新文档前总统胜过出版了关于选举舞弊。的一个电子邮件看起来像这样:
点击链接的人第一次交付合法常数联系服务商,但不久之后,他们重定向到一个文件驻留在服务器属于锘,微软说。一旦目标是重定向,JavaScript导致游客设备自动下载归档文件的一种被称为一个ISO映像。
正如下图所示,ISO映像包含一个PDF文件,LNK文件命名的报告,和一个DLL文件命名文件,默认是隐藏的。
当点击报告目标文件时,它在后台打开PDF作为诱饵,DLL文件执行。反过来,DLL安装了NativeZone后门。一个单独的文章发布的微软威胁情报中心,或MSTIC说,后门允许锘实现持续获得妥协机器所以集团”行为行动目标,如横向运动,数据漏出,和交付额外的恶意软件。”周二的攻击只是最新一波的MSTIC所说的是一个广泛的恶意垃圾邮件活动始于1月下旬。从那时起,一系列迭代的运动已经发展了“重大的实验。”
当微软第一次看到这个活动,举办ISO重火力点,国有移动云平台和Web应用程序。在早期迭代中,微软表示,ISO镜像文件中不含恶意的有效载荷,导致公司研究人员总结的目的是“记录属性访问URL。“在以后的阶段,活动发送电子邮件包含一个HTML文件。在打开时,JavaScript写了ISO镜像盘,并鼓励目标以打开它。
后者的攻击阶段看起来像这样:
iOS零日
与多个变体锘继续实验。在一个波,没有了ISO载荷。相反,Nobelium-controlled web服务器异形目标设备。如果目标设备是一个iPhone或iPad,服务器交付当时零日漏洞cve - 2021 - 1879iOS漏洞,允许黑客提供一个通用的跨站点脚本攻击。苹果修补零日3月下旬。
周四晚上的MSTIC文章继续说:
实验持续通过大部分的活动,但在2021年4月开始升级。4月份在海浪,行为人放弃使用重火力点,不再跟踪用户使用一个专用的URL。他们的技术转移到编码中ISO的HTML文档,负责存储在远程服务器上目标主机的详细信息通过使用api.ipify.org的服务。演员有时使用针对特定内部检查活动目录域将终结执行的恶意进程如果它发现了一个意想不到的环境。
2021年5月,演员再一次改变了技术通过保持HTML和ISO组合,但下降一个定制的。net一期植入,发现TrojanDownloader: MSIL /立体声扬声器,基于主机的侦察数据报告,并下载额外的载荷,Dropbox云存储平台。
5月25日,锘运动明显升级。使用合法的邮件服务质量不断接触,锘试图目标约3000个人账户150多个组织。由于大量运动,自动化系统阻止了大多数的邮件标记为垃圾邮件。然而,自动化系统可能已经成功地交付了一些早期的电子邮件收件人。
与此同时,安全公司Volexity公布了自己的文章周四,提供更多的细节。其中包括:文档。DLL文件checked target machines for the presence of security sandboxes and virtual machines as shown here:
妥协的俱乐部和Volexity提供多个指标,组织可以使用它来确定他们的目标的活动。微软继续警告说,本周的升级不可能的最后我们会看到锘或其持续的电子邮件活动。
“微软安全研究人员评估锘鱼叉式网络钓鱼的操作循环,增加的频率和范围,“微软俱乐部后总结道。“预计额外的活动可能是由该组织使用一组进化的策略。”
加州51帖子更新时间从FireEye添加细节。
46个读者评论
我猜的人点击一个令人难以置信的邮件也要点击任何文件,滴在他们的电脑。
我也提出了一个更新PPP RFC1661:从Point-to-Point-Protocol Pigeon-to-Point-Protocol。同时,我们需要更新RFC1662:框架与鸽子可以有趣!
/ j
我猜的人点击一个令人难以置信的邮件也要点击任何文件,滴在他们的电脑。
但这里的问题是,电子邮件尽可能地使自己显得non-dodgy,至少,它起源于可靠可信的来源。内容不谈,它通过一个更有用的健康检查与伪造的电子邮件。
最终用户绝对安全负有一定责任,但是有恒定持续的努力,在这些措施,和最终用户教育和意识只会走这么远来防止这类攻击。
在这种情况下的问题是政府控制的帐户的妥协,允许发送的恶意电子邮件从一个可靠的可靠来源。这就是斡旋努力需要重点防范这样的功绩。与SolarWinds相同,否则破坏一个可信的供应链。
最后一次编辑SixDegrees2021年5月28日星期五截止
这将帮助稳定普京
鱼叉捕鱼和一般社会工程是最有效的攻击向量。这些消息凸轮从一个值得信赖的合法政府的电子邮件地址。它需要一个非常高水平的意识或从非偏执科技用户不点击链接。我将很可能没有,我就找到了红色的句子有点太多,或ISO,一个非常奇怪的格式,但我不是一个“正常”的用户,但训练安全专业。
白痴不能排除,但你只需要一个标准用户信任你的公司和其他的安全人重点和能力比诞生。
这将帮助稳定普京
我不认为他真正需要的任何帮助。
我同意,不过,这是一个糟糕的计划,原因很多。
这可能是真的,人类是最薄弱的一环又一次,但分类白痴在我看来是不正确的。的人有不同的技能水平和对技术的理解,缺乏一些理解并不是一个白痴。
另一方面,我很确定,即使是最科技精明和偏执的人可能会对这样的消息时,足够好了。因此,我们的目标必须是电脑上的安全,而不是过分依赖假设最终用户的行为。
太糟糕了,这是我对这个问题的理解,欧盟需要俄罗斯的化石燃料,不会处理dumptrucks冷冻尸体冬季来临的时候,很多欧盟国家的一般认为买说美国是“是的,你当选的拜登,对你有好处……但你仍然当选橙色的,你有很多疯狂的人说拜登不是合法总统。什么发生在我们身上的如果你在2024年再次选择橙色的,甚至有人更糟糕的是吗?”
最后一次编辑副赶大车的人2021年5月28日星期五32
在信息安全工作作为我的日常工作,相信我当我说我理解的复杂性。但它只是感觉自己总是那么愚蠢的辞职,在一天结束的时候,必须把我们的手说,“我们很确定这是X,但是我们不能证明。”It's almost like we're saying, "we know the people/agency who did this, but we can't prove it because, well, Internet."
我们真的注定要这样永远存在吗?
鱼叉捕鱼和一般社会工程是最有效的攻击向量。这些消息凸轮从一个可信的合法政府的电子邮件地址…
这一部分评估用户的行为是至关重要的。来自合法gov邮件地址会失败很多声誉分析,人工或自动。ISO是可疑的,但如果目标定期与美国国际开发署,我不会对他们太苛刻信任发件人。
编辑:轻微扩张以来,我在一个真正的键盘——记住,这个消息将通过SPF和DKIM因为它来自一个合法USAID-authorized发送者。
最后一次编辑jhodge2021年5月28日星期五29
这可能是真的,人类是最薄弱的一环又一次,但分类白痴在我看来是不正确的。的人有不同的技能水平和对技术的理解,缺乏一些理解并不是一个白痴。
另一方面,我很确定,即使是最科技精明和偏执的人可能会对这样的消息时,足够好了。因此,我们的目标必须是电脑上的安全,而不是过分依赖假设最终用户的行为。
完全正确!
精心制定网络钓鱼邮件从一个合法的来源,你与欺骗大多数人会做生意,不仅仅是白痴。我很偏执,由于我的工作作为一个首席技术官,但我不能指望所有的员工采取同样的方式。
同时,重要的是要让用户了解信息安全,我们有试过在过去的15年,现在比以往任何时候都更多的钓鱼和ransomware……教育是一个组件,但是我们需要其他工具地址当前安全格局。
视情况而定。许多安装脚本,例如;在某种程度上,你必须允许程序运行。
似乎奇怪的系统还允许普通用户安装任何东西,。Windows是易于配置不允许;我家运行Windows的系统都设置需要单独为任何形式的系统插件管理密码。这不是默认的(应该是,国际海事组织),但需要不到一分钟的时间来设置。
直到这个核,它不会停止。,为什么呢?实际上可能的后果,足以让一个外国实体保护核武器阻止黑客攻击其他国家?
编辑:如果你要downvote,至少提供了反驳。我建议任何方式停止这种行为不会导致全球热核战争。继续。如果你不能,那么考虑你为什么downvoted ?因为世界大战3不是静静地结束除非人类改变它的整体表现它的存在。
最后一次编辑McTurkey2021年5月28日星期五11:18
在信息安全工作作为我的日常工作,相信我当我说我理解的复杂性。但它只是感觉自己总是那么愚蠢的辞职,在一天结束的时候,必须把我们的手说,“我们很确定这是X,但是我们不能证明。”It's almost like we're saying, "we know the people/agency who did this, but we can't prove it because, well, Internet."
我们真的注定要这样永远存在吗?
如果你“归因”定义为“罪犯在法庭上被定罪”,然后不——绝大多数的攻击不会证明归因。美国有刑事起诉许多外国黑客在过去的几年里,但其中任何一个的可能性出现在一个国家对美国友好引渡条约,被抓,送来,定罪是真的很低。
在信息安全工作作为我的日常工作,相信我当我说我理解的复杂性。但它只是感觉自己总是那么愚蠢的辞职,在一天结束的时候,必须把我们的手说,“我们很确定这是X,但是我们不能证明。”It's almost like we're saying, "we know the people/agency who did this, but we can't prove it because, well, Internet."
我们真的注定要这样永远存在吗?
如果你“归因”定义为“罪犯在法庭上被定罪”,然后不——绝大多数的攻击不会证明归因。美国有刑事起诉许多外国黑客在过去的几年里,但其中任何一个的可能性出现在一个国家对美国友好引渡条约,被抓,送来,定罪是真的很低。
是的,这是真的,我将如何定义属性,然后某种形式的实际法律惩罚。只是如此沮丧,“因为互联网”就有效美国西部(TM)永久。很多,甚至大多数,这些攻击造成真正的伤害,无论是金融或物理,甚至两个。
在信息安全工作作为我的日常工作,相信我当我说我理解的复杂性。但它只是感觉自己总是那么愚蠢的辞职,在一天结束的时候,必须把我们的手说,“我们很确定这是X,但是我们不能证明。”It's almost like we're saying, "we know the people/agency who did this, but we can't prove it because, well, Internet."
我们真的注定要这样永远存在吗?
有一些100%归因的情况下是可能的,因为“好人”侵入“坏人”系统和实时观看攻击。
或者当蜜罐注入可追踪的数据,手机家里真正的位置,但这可能只会得到服务器,除非饼干团队是愚蠢的。有一些愚蠢的饼干opsec较差。
或者当坏人宣称所有权不虚假索赔。
除此之外,可能不会。至少不是在方便覆盖安全几乎总是。
问题:为什么总是一个“复杂的攻击”影响微软的东西吗?
在信息安全工作作为我的日常工作,相信我当我说我理解的复杂性。但它只是感觉自己总是那么愚蠢的辞职,在一天结束的时候,必须把我们的手说,“我们很确定这是X,但是我们不能证明。”It's almost like we're saying, "we know the people/agency who did this, but we can't prove it because, well, Internet."
我们真的注定要这样永远存在吗?
我得到你要求的,但不知道有什么意义。我们证明,我们有铁的证据,这是一个国家的演员或者支持的状态,然后呢?
这绝对是一条不归路,但我认为西方文明(由于缺乏更好的术语)需要把注意力从防守到进攻在安全领域。我的思维过程是网络安全防御需要100%有效的100%的时间,而攻击者只需要成功一次。
创建资金充足和良好的培训/教育/经验丰富的团队,亨特在进攻上有两个主要目标:识别这些演员的意图使其个人身份公共信息和焚烧他们的攻击地面基础设施可能的时间和地点。
再次滑坡,但老实说,我只相信捍卫的姿态为私人组织注定失败。唯一能够将政府支持组织展开攻势今天大多数西方法律阻止私营企业这样做没有触犯法律。
在信息安全工作作为我的日常工作,相信我当我说我理解的复杂性。但它只是感觉自己总是那么愚蠢的辞职,在一天结束的时候,必须把我们的手说,“我们很确定这是X,但是我们不能证明。”It's almost like we're saying, "we know the people/agency who did this, but we can't prove it because, well, Internet."
我们真的注定要这样永远存在吗?
只要我们希望人们不会做不适当的事情,保持匿名,懒惰的做事方法然后是的。
虽然用户可能实际的向量,操作系统(Windows目前真的)不应该受到这些问题。所以无法使用安全(打开)操作系统和语言问题。尽管我想认为SELinux的差别,我不像最近的macOS袭击显示,天真。C语言,像铁锈(或添加这些功能等等)也许会很长一段路要帮助消除漏洞。开源可以找到漏洞但是只有眼睛是正常。
是的,这是非常可爱的《旅。俄罗斯黑客组织攻击中情局前预计。
在信息安全工作作为我的日常工作,相信我当我说我理解的复杂性。但它只是感觉自己总是那么愚蠢的辞职,在一天结束的时候,必须把我们的手说,“我们很确定这是X,但是我们不能证明。”It's almost like we're saying, "we know the people/agency who did this, but we can't prove it because, well, Internet."
我们真的注定要这样永远存在吗?
我得到你要求的,但不知道有什么意义。我们证明,我们有铁的证据,这是一个国家的演员或者支持的状态,然后呢?
这绝对是一条不归路,但我认为西方文明(由于缺乏更好的术语)需要把注意力从防守到进攻在安全领域。我的思维过程是网络安全防御需要100%有效的100%的时间,而攻击者只需要成功一次。
呃,如果我可以…我们只是在这个混乱因为西方更注重进攻比防守。
在国安局授权参与黑客攻击和摧毁伊朗的离心机通过Stuxnet(2007年左右),它最初是一种另类的巨大身体的战争。但直到斯诺登泄漏后,我们开始看到政府重大贡献回网络安全。在这过渡时期,国家安全局是几乎完全集中于发现和利用漏洞,很少贡献补丁上游,因为他们不想失去立足点在“外国”网络(不要介意那些利用也使国内和盟军网络脆弱)。
如果目标是看到多远我们可以升级这个开放,全球冲突之前就变成了一个暴力的军事接触,然后确定,继续寻求更多毁灭性的进攻能力。什么样的进攻能力将是一个有效的反应或威慑?没有短缺的故事在2017年和2018年对俄罗斯可能在我们的基础设施的各个部分休眠“总开关”,以及我们如何可能有同样的事情。但这显然不是一个功能的威慑,如果他们仍然黑客我们定期(或只是媒体废话)。
不可以绝对安全的计算机系统(甚至没有空气不紧密接触,我们表明,当我们帮助启动Stuxnet)。只有足够“安全”民族国家能够并且将会违反它的假设(或已经这么做了)。试图阻止这个更好的防守就像试图生存核战争与更好的拦截器。当然,它可能在理论工作,但是成本将是天文数字,甚至可能不会工作得很好足以阻止足够坚定的对手。
我可以看到这结局有两种方法:全局核战争或跨国和平谈判,让冷战时期的开始和盐会谈看起来像业余时间。
我们已经知道的后果让所有安全业务的突发奇想——>每个人都砍。
企业需要做的更好。失败的必要先决条件,发生后果发生的由于不能满足基本的安全标准。例如如果你砍,因为你未能应用安全更新,你应该痛苦的后果。由于安全投资评估与可能的成本,这些成本需要更高。
软件也需要做得更好。给予鼓励负责任的安全研究人员发现并报告漏洞的一部分。使用更安全的开发平台(例如一些语言和平台鼓励良好的安全实践,和一些不)。由第三方验证和安全性测试也应该成为它的一部分。需要有处罚未能支持软件和补丁失败在合理的时间内已知的漏洞——后果了。
硬件需要做得更好,比如软件也适用于驱动程序和固件的一切。
然后我们还应该积极寻找攻击(黑客)的人进行攻击。
做所有这些事情,将会有更少的问题。不是没有,而是少了。
如果你可能意味着人们和组织收到从美国政府很多钱,你是对的。
太糟糕了,这是我对这个问题的理解,欧盟需要俄罗斯的化石燃料,不会处理dumptrucks冷冻尸体冬季来临的时候,很多欧盟国家的一般认为买说美国是“是的,你当选的拜登,对你有好处……但你仍然当选橙色的,你有很多疯狂的人说拜登不是合法总统。什么发生在我们身上的如果你在2024年再次选择橙色的,甚至有人更糟糕的是吗?”
实际上,SVR可能会使用他的行为在未来的活动之一。此外如果你踢俄罗斯的互联网因为SVR的行动,你必须把我们踢的互联网,因为国家安全局的行动。祝你好运。
直到这个核,它不会停止……编辑:如果你要downvote,至少提供了反驳。我建议任何方式停止这种行为不会导致全球热核战争。继续。如果你不能,那么考虑你为什么downvoted ?因为世界大战3不是静静地结束除非人类改变它的整体表现它的存在。
自古以来,强劲的从事“正面全裸攻击”,而弱者使用游击战术。强者永远谴责他的弱的对手“懦弱,卑鄙,战斗脏”。这是一个道德问题吗?或每一方做它可以赢得(或至少不输)?还是两个? ?
我们是世界上唯一的超级大国。我们不希望或需要容忍任何人干扰我们。然而,如果你认为我们实施制裁和封锁所有倍——甚至政权的变化和国家建设——我们真的可以期待我们弱小的敌人(和我们所有的敌人都弱于美国)类似的“公平斗争”——而不是战斗肮脏和卑鄙?
我没有答案,但我认为这是相当无用的“谴责”任何东西,因为我们从事黑客不断干涉两朋友和敌人的事务(原因都有效,否则)…和我们的核选项不是会是合适的…这样的解决方案可能会不完美预防之一:我们需要一个专业,主要总体我们整个互联网,如果是这样,如何?我们不能有一个系统,可以打破如果连一个用户的数千或数百万点击他的错误的选择不应该!
如果它看起来很奇怪,格式我总是可以做一个CTRL-U看到完整的源和做出一个决定。如果这是专为HTML查看,我确信这不是虚假的我对我的客户(FossaMail)按钮来改变视图的HTML。即使这样,我控制图像的显示,因此只有那些我选择信任得到显示。这听起来偏执,但坏的东西,它是一种常见的向量通常用于收集数据消息的观众。
重要的是要注意,我不是一个典型的电子邮件用户。
在构建和管理电子邮件服务器在我(过去)工作生活,我也花了一些时间与美国空军英特尔合作。在世界的间谍工作可以给你一个完全不同的角度对数据安全的主题。我不认为我自己的偏执,但我确实认为自己是比一些人更谨慎一些我和多年来(当我工作生活8 ^)。
编辑:格拉默
最后一次编辑sml72912021年5月29日,坐在12:57点
我觉得冷战已经开始。我们选举干扰,大规模黑客运动和IP盗窃,乌克兰建立和演习,一个全新的军事基地深在北极。俄罗斯可能是最主要的军事目标在北极。我怀疑这些挑衅更明目张胆的和频繁,直到美国和盟友共同所有的,强行推动。这还不包括中国,可能使其与俄罗斯的军事利益(例如,出售其俄罗斯军事AI)。有一个糟糕的风暴正在酝酿。在这两个数字和物理世界。
因为你没有阅读或不理解这篇文章,简短的回答你的隐含稻草人,没有漏洞在Windows中,和他们的攻击是不限于窗口。
你必须登录或创建一个帐户置评。