SolarWinds 黑客设立虚假媒体渠道来欺骗目标

近日，Recorded Future的研究人员发现，SolarWinds黑客背后的俄罗斯黑客组织Nobelium正在建立新的基础设施，以使用旧技巧发动攻击。该研究结果于周二发布并首先与CyberScoop分享，展示了该组织在最近几个月是如何发展以避免研究人员发现的。

“域名抢注”策略

研究人员确定了该组织在网络钓鱼攻击中使用的40多个域，其中一些域试图模仿真实品牌。黑客通过注册可能拼错的真实品牌域名版本来欺骗目标的策略被称为“域名抢注”。

通过伪装成看起来合法的实体，黑客可以更容易地诱骗受害者点击可能用于凭证盗窃和其他犯罪的链接。Typosquatting是与Nobelium相关的常用工具，并已被该组织用于其他活动，包括最近对乌克兰目标的攻击。

Recorded Future确定的一系列领域模仿了跨行业的品牌，但特别侧重于伪装成新闻和媒体组织。研究人员强调，模仿的行业不一定等同于该群体所针对的行业。

Nobelium组织

Nobelium，也称为APT29或CozyBear，据悉与俄罗斯外国情报局有联系。自从利用SolarWinds软件发起大规模黑客攻击活动后，该组织一直忙于尝试对外交官和国际援助组织进行网络钓鱼。去年5月，该组织冒充美国国际开发署发起了鱼叉式钓鱼攻击，导致司法部没收了该活动中使用的域名。

最近，微软研究人员发现Nobelium试图对来自乌克兰和北约成员国的外交官进行网络钓鱼。

Recorded Future的研究人员无法清楚地识别与新识别的域相关的受害者，但发现与先前活动中使用的相同恶意软件有联系。鉴于与先前确定的Nobelium基础设施存在重叠，包括始终使用专门定制的安全证书，研究人员对他们的发现表示高度信任。