美国司法部周二宣布https://www.justice.gov/opa/pr/justice-department-announces-court-authorized-seizure-domain-names-used-furtherance-spear“target=”\u blank“rel=”noopener noreferrer nofollow“data component=”externalLink“>查获了两个命令控制和恶意软件分发域被用作最近网络钓鱼攻击的一部分https://www.microsoft.com/security/blog/2021/05/27/new-sophisticated-email-based-attack-from-nobelium/“target=”\u blank“rel=”noopener noreferrer“data component=”externalLink“>上周被微软确认。
Nobelium,微软和CISA认为是https://www.zdnet.com/article/microsoft-solarwinds-attack-took-more-than-1000-engineers-to-create/“target=”\u blank“>大规模太阳风攻击,他被发现利用美国国际开发署(USAID)在群发邮件服务上的账户,向数千名收件人发送受感染的电子邮件。
微软和CISA都发布了关于攻击和https://www.washingtonpost.com/national-security/russia-hack-usaid-human-rights-groups/2021/05/28/3e996c42-bfae-11eb-9c90-731aff7d9a0d_story.html“target=”\u blank“rel=”noopener noreferrer“data component=”externalLink“>华盛顿邮报以及href=“https://www.nytimes.com/2021/05/28/us/politics/russia-hack-usaid.html“target=”\u blank“rel=”noopener noreferrer“data component=”externalLink“>纽约时报报道说,如果有的话,但美国司法部周二表示,其查封这两个域名的目的“是为了干扰恶意行为体对受害者的后续利用,以及识别受损的受害者。”
“在最初的妥协和上周的收缴之间,参与者可能已经部署了更多的后门通道,”政府声明说。
最初的攻击据信来自俄罗斯外交情报局,目标是专注于欧洲政治的政府和非营利组织。美国代理检察官拉吉·帕雷赫(Raj Parekh)说,“鱼叉式网络钓鱼攻击可能在受影响的计算机网络中造成广泛破坏,并可能对毫无戒备的个人受害者、政府机构、非政府组织和私营企业造成重大伤害。”,补充说,他们致力于与国内和国际合作伙伴合作,以破坏针对政府机构的攻击。
“我们将继续使用我们工具带中的所有工具,并利用我们的国内和国际合作伙伴关系,不仅破坏这类黑客活动,而且施加风险和后果沃恩德兰说:“我们必须向我们的对手施压,与这些威胁作斗争。
美国国际开发署账户遭到攻击的目标是3000多人,发送的电子邮件包括“特别警报”和其他让人们打开或下载账户内内容的努力。
袭击目标中的一些人对俄罗斯政府持批评态度,而另一些人则参与了整个欧洲和美国的国际发展、人道主义和人权工作。
根据司法部的说法,这些邮件有一个超链接,可以从theyardservice[.]com的一个子域下载恶意软件,攻击的幕后黑手可以从那里下载“钴打击工具,以保持持续存在,并可能向受害者的网络部署额外的工具或恶意软件”。
“Cobalt Strike tool的参与者实例通过YardService[.]com的其他子域以及worldhomeoutlet[.]com域接收C2通信。正是这两个领域,该部根据法院的扣押令扣押,”声明说。
Netenrich威胁情报顾问John Bambenek等网络安全专家表示,司法部行动的新颖之处在于,他们利用法律程序相对快速地占领域名,并以直截了当的方式保护自己的利益。
“如果各国政府能够迅速采取行动,不仅针对APT威胁,而且针对传统的网络犯罪,我们就能对网络犯罪产生更大的破坏性影响,”Bambenek说。
Lookout安全解决方案高级经理Hank Schless说,通过查获钓鱼活动中使用的域和命令控制服务器,研究人员可以获得线索,知道谁在进行这项活动,以及他们可能在哪里进行邪恶活动。
“大多数威胁参与者可能有其恶意活动的备份,并且可以在不同的域和服务器上生成相同活动的新版本。然而,重复使用同一个活动意味着它在未来很可能拥有可识别的启发或特征,”Schless向ZDNet解释道。
他指出,查封最近使用的域和指挥控制服务器有助于进行主动威胁研究,并有助于降低未来发生类似攻击的风险。
Schless说,通过收集大量威胁情报,数据集可以增长,可以识别更多的威胁,从而可以创建机器学习工具,帮助自动发现和定罪恶意网络钓鱼活动和参与者。
“由于攻击者经常在他们的活动中重复使用以前的恶意软件,甚至是命名策略,一个足够大的数据集将能够在已知和未知威胁达到任何规模之前识别和防范它们,“他告诉ZDNet.
“看到司法部采取措施阻止威胁行为者特别针对美国联邦机构,这是令人鼓舞的。”白宫确认的jbs遭勒索软件攻击后的牛肉和猪肉批发价租赁/“data omniture track=“moduleClick”data omniture track data='{“moduleInfo”:“作者提供的更多信息”,“pageType”:“article”}'>USDA在白宫确认JBS遭到勒索软件攻击后推迟牛肉和猪肉批发价格的发布
