Los atacantes de SolarWinds se hacen pasar por USAID en …



Microsoft comparte los detalles de una campaña de correo electrónico malicioso a gran escala atribuida a Nobelium, el grupo vinculado al ataque a la cadena de suministro de SolarWinds.

El grupo detrás del ataque a la cadena de suministro SolarWinds del año pasado está llevando a cabo una campaña de correo electrónico avanzada y generalizada que entrega enlaces maliciosos mientras se hace pasar por la Agencia de los Estados Unidos para el Desarrollo Internacional (USAID), informa Microsoft.

El Danger Intelligence Center de Microsoft (MSTIC) dice que ha estado rastreando esta campaña operada por Nobelium desde enero de 2021 y ha evolucionado a medida que el grupo experimenta con nuevas tácticas. Hasta ahora, el ataque de phishing se ha dirigido a unas 3.000 cuentas en más de 150 organizaciones en varias verticales de la industria. Las víctimas abarcan 24 países, aunque la mayoría de los ataques tienen como objetivo Estados Unidos.

Nobelium, un grupo relacionado con Rusia, se ha centrado históricamente en organizaciones, organizaciones no gubernamentales, grupos de expertos, militares, proveedores de servicios de TI, tecnología e investigación de la salud y proveedores de telecomunicaciones. En este caso, Microsoft informa que al menos una cuarta parte de los objetivos trabajan con trabajo de desarrollo internacional, humanitario y de derechos humanos.

Su campaña más reciente aprovecha Constant Speak to, un servicio legítimo de correo masivo utilizado para marketing and advertising por correo electrónico. Debido al gran volumen de correos electrónicos distribuidos en esta campaña, la detección automática de amenazas de correo electrónico marcó muchos de los correos electrónicos maliciosos como spam. Sin embargo, algunos sistemas de detección automatizados pueden haberlos entregado de manera efectiva debido a la configuración y la configuración de políticas.

Microsoft informa que los atacantes pudieron hacerse con el command de la cuenta de contacto constante de USAID, lo que les permitió enviar correos electrónicos aparentemente auténticos de USAID a miles de víctimas. Hubo muchas iteraciones en la campaña del 25 de mayo en un ejemplo, los correos electrónicos parecen provenir de USAID pero tienen una dirección de correo electrónico de remitente auténtica que coincide con Continual Contact.

«Nobelium lanzó los ataques de esta semana al obtener acceso a la cuenta Consistent Speak to de USAID», escribió Tom Burt, vicepresidente corporativo de seguridad y confianza del consumidor de Microsoft, en un entrada en el blog site. Burt señaló que Microsoft está en el proceso de notificar a los clientes objetivo y no hay indicios de que estos ataques utilicen un exploit o un defecto en los productos y servicios de Microsoft.

El uso de Frequent Speak to permitió a los atacantes ocultar enlaces detrás de la URL del servicio de correo. Los funcionarios señalan que muchos proveedores de servicios de documentos y correos electrónicos ofrecen una herramienta para simplificar el intercambio de enlaces y proporcionar información sobre quién hace clic en estos enlaces y cuándo.

Cuando se hace clic, el enlace malicioso del correo electrónico conduce a la entrega de un archivo ISO que contiene un archivo LNK malicioso, un archivo DLL malicioso y un señuelo legítimo que hace referencia a las amenazas extranjeras para las elecciones federales de EE. UU. De 2020, explican los investigadores de Volexity en un entrada en el site sobre la amenaza publicada esta semana. Microsoft señala que la DLL es un cargador Cobalt Strike Beacon personalizado al que llama NativeZone.

Si se implementan con éxito, estas cargas útiles permiten a los atacantes permanecer persistentes en los sistemas comprometidos para que puedan moverse lateralmente, robar datos, implementar malware adicional e infectar otras máquinas en la pink.

«Los investigadores de seguridad de Microsoft evalúan que las operaciones de spearphishing del Nobelium son recurrentes y han aumentado en frecuencia y alcance», MSTIC escribió en una publicación de web site separada compartiendo los detalles de este ataque, así como su evolución y mitigaciones. «Se prevé que el grupo puede realizar actividades adicionales utilizando un conjunto de tácticas en evolución».

Una mirada más cercana a la estrategia de Nobelium
Esta campaña activa es notable por algunas razones, explicó Burt. Cuando se considera junto con el ataque SolarWinds, está claro que Nobelium tiene como objetivo violar a los proveedores de tecnología confiables e infectar a sus clientes.

«Al aprovechar las actualizaciones de software y ahora los proveedores de correo electrónico masivo, Nobelium aumenta las posibilidades de daños colaterales en las operaciones de espionaje y socava la confianza en el ecosistema tecnológico», escribió Burt.

Si bien es diferente del ataque a SolarWinds, esta campaña subraya la consistencia del ciberespionaje. SolarWinds se destacó por su sigilo y disciplina, pero los fuertes y generalizados ataques de spear-phishing fueron una vez una «tarjeta de presentación» de los operadores de SVR que lanzaron ruidosas campañas de phishing, dice John Hultquist, vicepresidente de análisis de Mandiant Threat Intelligence, quien agrega estos ataques. por el Servicio de Inteligencia Exterior de Rusia a menudo obtenía acceso efectivo a las principales oficinas gubernamentales y otros objetivos.

«Y aunque los correos electrónicos de spear-phishing se identificaron rápidamente, esperamos que cualquier acción posterior al compromiso por parte de estos actores sea altamente hábil y sigilosa», señala. Esta campaña recientemente identificada parece haberse intensificado a medida que los ataques a la cadena de suministro estaban disminuyendo, una señal de que estas amenazas no desaparecerán pronto.

«Dada la naturaleza descarada de este incidente», dice Hultquist, «no parece que el SVR esté preparado para reducir su actividad de ciberespionaje».

Kelly Sheridan es la editora de particular de Dim Examining, donde se centra en noticias y análisis de ciberseguridad. Es una periodista de tecnología empresarial que anteriormente reportó para InformationWeek, donde cubrió Microsoft, y Seguros y tecnología, donde cubrió finanzas … Ver biografía completa

Lectura recomendada:

Más información





Enlace a la noticia unique