主导SolarWinds攻击的俄罗斯骇客集团Nobelium透过邮件行销平台Constant Contact，发送恶意邮件予全球150个组织

微软上周指出，主导SolarWinds供应链攻击行动的俄罗斯骇客集团Nobelium，其实从2019年以来便陆续展开攻击，除了SolarWinds攻击之外，最新的一波出现在5月25日，Nobelium透过邮件行销平台Constant Contact发送恶意邮件予全球150个组织，而且其中一个例子还利用了美国国际开发署（USAID）的Constant Contact账号。

根据微软的追踪，Nobelium的攻击目标涵盖了-组织、非-组织（NGO）、智库组织、军方、IT服务供应商、健康科技与研究机构，以及电信业者，目的是窃取各种情报。

Constant Contact为一美国的线上行销业者，主要协助各大组织发送行销电子邮件，这次Nobelium利用了Constant Contact平台，发送恶意邮件予全球24个国家逾150个组织的3,000个电子邮件账号，当中至少有1/4的组织涉及国际发展、人道主义与人权运作。

在这波攻击中，Nobelium取得了USAID所使用的Constant Contact 账号，并以USAID的名义发送网钓邮件，邮件内容是个警告，表示“川普已公布了有关选举诈骗的新文件”（Donald Trump has published new documents on election fraud），并嵌入两个连结，一个是检视文件，另一个则是造访USAID网站。

图片来源_微软

不管是点选了哪个连结，使用者都会先被导至合法的Constant Contact服务，再被转至由骇客掌控的网址，接着就会被植入一个恶意的ISO档案，让骇客于受害者系统上部署长驻能力，之后再伺机于受害者的系统上横向移动、窃取资料，或者是递送更多的恶意程式。

微软也公布了Nobelium此波攻击行动的入侵指标，包括收到来自ashainfo@usaid.gov或mhillary@usaid.gov的邮件，或是在系统上侦测到恶意的ISO档案与Cobalt Strike Beacon恶意程式，以及由骇客所掌控的网域。

微软指出，从Nobelium以往的行动来看，该集团采用一贯的攻击策略，先取得可靠技术供应商的存取能力，再进一步危害这些供应商的客户。