美国占领太阳林黑客在网络间谍攻击中使用的域名

在微软、Secureworks和Volexity揭露了俄罗斯黑客入侵SolarWinds IT管理软件所引发的一项新的矛式网络钓鱼活动几天后，美国司法部（DoJ）周二表示，它进行了干预，以控制该活动中使用的两个指挥与控制（C2）和恶意软件分发域。

司法部表示，法院授权的域名扣押发生在5月28日，并补充说，该行动旨在扰乱威胁行为体对受害者的后续剥削，以及阻止他们破坏新系统的能力。

然而，国防部警告称，从最初的妥协发生到上周的缴获之间的过渡期间，对手可能部署了额外的后门通道。

司法部国家安全司助理司法部长约翰·C·德默斯（John C.Demers）说：“这一行动继续表明，司法部致力于在刑事调查结束前主动干扰黑客活动。”。

“即使在逮捕之前，执法仍然是美国政府打击恶意网络活动的更广泛干扰努力的一个组成部分，我们将继续评估所有可能的机会，以利用我们独特的权威采取行动应对此类威胁。”

被查封的两个域名—；他们的服务com和worldhomeoutlet[.]com—；用于通信和控制一个名为NativeZone（“NativeCacheSvc.dll”）的定制钴打击加载程序，参与者将其植入受害者网络。

这场大规模的活动于5月25日被发现，它利用了美国国际开发署在一家名为“持续联系”的大规模电子邮件营销公司的一个受损账户，向150多个不同组织的约3000个电子邮件账户发送钓鱼邮件。

一旦收件人点击了电子邮件中嵌入的超链接，他们的数据服务的子域[。]com被用来在受害者机器中获得初始立足点，利用它来检索Cobalt Strike后门，以保持持续存在，并可能提供额外的有效载荷。

“Cobalt Strike工具的参与者实例通过其YardService的其他子域接收C2通信[.]com以及worldhomeoutlet[.]司法部说。

微软将持续的入侵归咎于其追踪的俄罗斯威胁行为人Nobelium，以及更广泛的网络安全社区，其绰号为APT29、UNC2452（FireEye）、SolarStorm（42单元）、StellarParticle（Crowdstrike）、Dark Halo（Volexity）和Iron Rice（Secureworks）。

自那以后，该公司又发现了三种在感染链中使用的独特恶意软件，即BoomBox、EnvyScout和VaporRage，这增加了攻击者不断增长的黑客工具库，如Sunburst、Sunspot、Raindrop、Teardrop、GoldMax、GoldFinder、Sibot和Flipfop，再次展示了Nobelium在针对潜在高风险和高可见性环境时的运营安全优先级。

BoomBox（“BOOM.exe”）是一个下载程序，负责从参与者控制的Dropbox帐户下载和执行下一阶段组件，而VaporRage（“CertPKIProvider.dll”）是一个外壳代码加载程序，用于下载、解码和执行内存中的任意有效负载。

另一方面，EnvyScout（“NV.html”）是一种恶意软件滴管，能够消除混淆并将恶意ISO文件写入磁盘，并通过html附件将其发送到目标，以刺探网络钓鱼电子邮件。

袭击者在最近一次战役中多次改变战术的模式突显了可能对受害者个人、政府机构、非政府组织和私营企业造成的广泛损害。这些入侵还突显了Nobelium在一个系统或帐户上建立访问权限，然后将其作为起点来访问多个目标的做法。

研究人员指出，与太阳林黑客“显著”不同的是，其工具和工艺不断演变，其操作方式实现了高水平的隐身，使其能够长时间不被发现。

“Nobelium是一个行动迅速的公司，经常利用临时基础设施、有效载荷和方法来混淆他们的活动，”微软说。“这种设计和部署模式还包括在受损网站上登载有效载荷，妨碍了传统的人工制品和法医调查，使得独特的有效载荷无法被发现。”