Noticias

Nobelium: Los atacantes de SolarWinds vuelven a escena… si alguna vez se fueron

Publicado

en

El grupo ruso Nobelium, responsables del ataque a SolarWinds, han regresado con una nueva campaña de phishing que apunta a agencias gubernamentales, think tanks, consultores y organizaciones no gubernamentales ubicadas en 24 países, según alertan desde el Centro de Inteligencia de Amenazas de Microsoft (MSTIC).

El ataque de cadena de suministro que comprometió el software de SolarWinds con código malicioso para alcanzar a grandes multinacionales, empresas de telecomunicaciones y agencias gubernamentales, fue la violación de ciberseguridad más grave del siglo en Estados Unidos. Aún está lejos de aclararse su alcance y consecuencias, pero sus responsables siguen actuando.

Nobelium ha lanzado una sofisticada campaña de correo electrónico masivo destinada a entregar URL maliciosas con cargas útiles que permitan la persistencia de la red y la continuación de sus ‘actividades’. «Esta ola de ataques dirigidos ha alcanzado 3.000 cuentas de correo electrónico de más de 150 organizaciones diferentes en 24 países», dicen desde el MSTIC. «Al menos una cuarta parte de las organizaciones seleccionadas estaban involucradas en trabajo de desarrollo internacional, humanitario y de derechos humanos», aseguran,

Se dice que es la última ola de una serie de intrusiones que comenzó en enero de 2021, antes de alcanzar un nuevo nivel de escalada el 25 de mayo. Los ataques aprovecharon un servicio legítimo de correo masivo llamado Constant Contact para ocultar su actividad maliciosa y enmascararse como USAID, una organización de desarrollo con sede en EE. UU., para sostener una campaña de phishing a gran escala que distribuyó correos electrónicos a una amplia variedad de organizaciones y verticales de la industria.

«Nobelium lanzó los ataques de esta semana al obtener acceso a la cuenta de Constant Contact de USAID», explicaron. Estos correos electrónicos aparentemente auténticos incluían un enlace que, al hacer clic, entregaba un archivo de imagen de disco óptico malicioso («ICA-declass.iso») para inyectar un implante Cobalt Strike Beacon personalizado denominado NativeZone («Documents.dll»).

La puerta trasera, como se observó en incidentes anteriores, viene totalmente equipada con capacidades para mantener el acceso persistente, realizar movimientos laterales, ex filtrar datos e instalar malware adicional.

La firma de ciberseguridad Volexity, que corroboró los hallazgos de Microsoft, dijo que la campaña destacó a organizaciones no gubernamentales (ONG), instituciones de investigación, entidades gubernamentales y agencias internacionales ubicadas en Estados Unidos y Europa.

Los últimos ataques se suman a la evidencia del patrón recurrente del actor de amenazas de utilizar una infraestructura y herramientas únicas para cada objetivo, lo que brinda a los atacantes un alto nivel de sigilo y les permite permanecer sin ser detectados durante períodos prolongados, como sucedió con SolarWinds.

En otra variación de los ataques dirigidos detectados antes de abril, Nobelium experimentó con la creación de perfiles de la máquina objetivo después de que el destinatario del correo electrónico hiciera clic en el enlace. En el caso de que el sistema operativo subyacente resultara ser iOS, la víctima fue redirigida a un segundo servidor remoto para enviar un exploit para la vulnerabilidad de Día-Zero etiquetada como CVE-2021-1879 de día cero. Apple abordó el fallo en marzo.

Lo más leído

Salir de la versión móvil