俄羅斯駭客集團Nobelium透過郵件行銷平台Constant Contact,發送惡意郵件予全球150個組織

微軟於5月27日表示,主導SolarWinds供應鏈攻擊行動之俄羅斯駭客組織Nobelium(又名APT29、UNC2452或Cozy Bear),鎖定政府機關、研究機構、非政府組織及國際組織,發起新一波攻擊行動,透過郵件行銷平台Constant Contact寄送惡意郵件予全球150個組織,目的為竊取資訊。

 

Constant Contact為美國線上行銷業者,主要服務為寄送行銷電子郵件。駭客組織Nobelium首先取得美國國際開發總署(United States Agency for International Development, USAID)所使用之Constant Contact帳號,以其名義寄送惡意釣魚郵件予全球24個國家、逾150個組織之3,000個電子郵件帳號,其中至少有1/4個組織與國際發展、人道主義及人權運作相關。

 

郵件內容嵌入惡意連結,受駭者先被導至合法Constant Contact服務網頁,再跳至駭客掌握之網頁,爾後將惡意程式植入受駭系統,使駭客可常駐於受駭系統中,以利後續進行橫向移動或竊取資訊等惡意行為。

 

微軟指出,依據駭客組織Nobelium過往行動,該組織採用一貫之攻擊策略,首先入侵供應商,再進一步攻擊供應商之客戶。

Reference

資料來源:

https://www.microsoft.com/security/blog/2021/05/27/new-sophisticated-email-based-attack-from-nobelium/

Suspected APT29 Operation Launches Election Fraud Themed Phishing Campaigns

https://www.securitymagazine.com/articles/95328-microsoft-warns-of-russian-nobelium-phishing-campaign