(تصویر: گتی)

همین گروه پشت حمله سایبری SolarWinds اخیراً از حساب ایمیل بازاریابی یک آژانس بازاریابی ایالات متحده برای ارسال هزاران ایمیل فیشینگ به بیش از 150 سازمان استفاده کرده است.

همانطور که تیم امنیت و اعتماد مایکروسافت (CST) در این هفته تشریح کرد ، یک گروه هکر معروف به نوبلیوم به حساب تماس دائمی آژانس توسعه بین المللی ایالات متحده (USAID) دسترسی پیدا کرده است. Constant Contact یک شرکت بازاریابی از طریق ایمیل است ، بنابراین دسترسی به حساب USAID به نوبلیوم اجازه می دهد تا حدود 3000 حساب ایمیل را که ظاهراً از USAID آمده است ، اسپم کند.

در عوض ، این ایمیل ها “حاوی پیوندی هستند که با کلیک بر روی آنها ، یک فایل مخرب که برای گسترش درب پشتی استفاده می شود و ما آن را NativeZone می نامیم” قرار می دهد. “این درپشتی می تواند طیف گسترده ای از فعالیت ها را از سرقت داده تا آلوده کردن رایانه های دیگر در شبکه فعال کند.”

حداقل یک چهارم سازمانهای هدف در توسعه بین المللی ، کارهای بشردوستانه و حقوق بشر دخیل بوده اند.

در بیانیه ای ، سخنگوی Constant Contact گفت که این شرکت “آگاه است که اعتبار حساب های یکی از مشتریان ما به خطر افتاده و توسط یک شرکت کننده مخرب برای دسترسی به حساب های Constant Contact مشتری مورد استفاده قرار گرفته است. این یک حادثه منفرد است و ما هنگام کار با مشتری خود که با نیروی انتظامی کار می کند ، حسابهای آسیب دیده را بطور موقت غیرفعال کرده ایم. “

Puja Junjunwala ، سخنگوی USAID ، گفت “تحقیقات در مورد این حادثه امنیتی ادامه دارد” و این آژانس در حال حاضر با “همه مقامات مربوطه فدرال” از جمله امنیت ملی و آژانس امنیت سایبر و زیرساخت ایالات متحده در حال کار است. (CISA )

CISA می گوید “در حال کار با FBI و USAID برای درک بهتر میزان سازش و کمک به قربانیان بالقوه است.”


جمع آوری تلاشهای اطلاعاتی

به گفته برت نوبلیوم ، این مرکز در روسیه مستقر است و این گروه “همان شرکت کننده در حملات به مشتریان SolarWinds در سال 2020 است. به نظر می رسد این حملات به تلاش های متعدد نوبلیوم برای هدف قرار دادن آژانس های دولتی درگیر در سیاست خارجی به عنوان بخشی از تلاش برای جمع آوری کمک مالی ادامه می دهد. هوش. “

مایکروسافت می گوید “به طور خودکار” بسیاری از حملات مورد هدف مشتریان ما را مسدود کرده است “، در حالی که” Windows Defender بدافزار موجود در آن حمله را مسدود می کند. ” وی خاطرنشان کرد: “هیچ دلیلی وجود ندارد که باور کنیم این حملات شامل بهره برداری یا آسیب پذیری در محصولات یا خدمات مایکروسافت است.” (حمله SolarWinds به هکرها اجازه می دهد کد منبع مایکروسافت را ببینند.)

ایمیل الکترونیکی ارسال شده توسط نوبلیوم (تصویر: مایکروسافت)

این کمپین به ژانویه 2021 برمی گردد ، زمانی که مایکروسافت معتقد بود که نوبلیوم از Google Firebase برای آزمایش آب برای قربانیان احتمالی استفاده می کند و احتمالاً پس از قرار گرفتن در معرض طرح SolarWinds دوباره سازماندهی می شود. این ایمیل ایمیل های فیشینگ را ارسال می کند که پیگیری می کند چه کسانی روی پیوندها کلیک کرده اند ، اما هیچ بدافزاری ارائه نمی دهد.

این “آزمایش” چندین ماه به طول انجامید ، اما در 25 مه “افزایش چشمگیری” یافت. سپس سیستم های خودکار اکثر ایمیل های جایزه نوبل را مسدود کرده و به عنوان هرزنامه علامت گذاری می کنند. مایکروسافت می گوید: “با این حال ، سیستم های خودکار ممکن است برخی از ایمیل های قبلی گیرندگان را با موفقیت تحویل دهند.”

اگر یک ایمیل نوبلیوم در صندوق ورودی شما بارگذاری شود و کلیک کنید ، هکرها به شبکه شما دسترسی پیدا می کنند و به آنها امکان می دهد خزیدن ، حذف داده ها و بدافزارهای اضافی را تحویل دهند.

وی گفت: “این نمونه دیگری از چگونگی حملات سایبری به ابزاری برای انتخاب تعداد فزاینده ای از دولت های ملی برای دستیابی به اهداف سیاسی متنوع با تمرکز این حملات نوبل به سازمان های حقوق بشری و بشردوستانه تبدیل شده است.” برت.

مایکروسافت خاطرنشان می کند که “این یک حادثه فعال است.” برت می گوید این حمله نشان می دهد که “ما به قوانین مشخص حاکم بر رفتار دولت ملی در فضای مجازی و انتظارات واضح در مورد عواقب نقض این قوانین نیاز داریم.”

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *