EE. UU. Incauta los dominios de los atacantes utilizados en el phishing de USAID …



La medida sigue a la divulgación la semana pasada de un ataque en curso diseñado para imitar los correos electrónicos de la Agencia de Estados Unidos para el Desarrollo Internacional.

Estados Unidos se ha apoderado de dos dominios de comando y handle (C2) y de distribución de malware utilizados en una campaña de spearphishing recientemente divulgada que se hizo pasar por comunicaciones por correo electrónico de la Agencia de los Estados Unidos para el Desarrollo Internacional (USAID), informa el Departamento de Justicia.

Microsoft y Volexity revelaron el ataque a fines de la semana pasada. Esta operación se ha atribuido a un grupo al que Microsoft llama Nobelium, el grupo ruso detrás del ataque a la cadena de suministro de SolarWinds. Ha estado operando y evolucionando esta campaña enviada por correo electrónico desde principios de 2021, informa Microsoft. El ataque en curso se ha dirigido a aproximadamente 350 organizaciones de todas las industrias, confirmó la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) del Departamento de Seguridad Nacional en un 28 de mayo. declaración.

Los atacantes obtuvieron acceso a la cuenta de USAID para Constant Speak to, una plataforma legítima utilizada para internet marketing por correo electrónico. Su acceso les permitió enviar correos electrónicos aparentemente auténticos de USAID que contenían una «alerta especial» a miles de cuentas objetivo y ocultar enlaces maliciosos detrás de la URL del servicio de correo.

A las víctimas que hicieron clic en este enlace se les pidió que descargaran malware desde un subdominio de theyardservice (.) Com, informa el Departamento de Justicia. Con este punto de apoyo, los atacantes descargaron una herramienta Cobalt Strike para permanecer persistentes y posiblemente implementar herramientas adicionales o malware en una purple objetivo.

Los funcionarios señalan que la instancia de los atacantes de la herramienta Cobalt Strike recibió comunicaciones C2 a través de otros subdominios de theyardservice (.) Com y el dominio worldhomeoutlet (.) Com. Estos dos dominios fueron incautados tras la incautación ordenada por la corte.

La incautación autorizada por el tribunal de estos dos dominios tenía la intención de interrumpir la explotación posterior de las víctimas por parte de los atacantes e identificar las máquinas comprometidas, escriben los funcionarios en un lanzamiento. Señalan que los atacantes pueden haber desplegado «accesos de puerta trasera adicionales» entre el momento del compromiso inicial y la incautación de la semana pasada.

Los investigadores de seguridad han estado analizando más de cerca las herramientas utilizadas en esta campaña para aprender más sobre cómo operan estos atacantes. Cada una de estas herramientas está diseñada para ofrecer flexibilidad, lo que permite a los atacantes adaptarse a los desafíos operativos que puedan enfrentar, explica el Centro de inteligencia de amenazas de Microsoft (MSTIC) en una publicación de website. Sus investigadores identifican cuatro de estas herramientas en la cadena de infección de Nobelium: EnvyScout, BoomBox, NativeZone y VaporRage.

«Si bien sus especificaciones técnicas tienen precedentes, las prioridades de seguridad operativa de Nobelium probablemente hayan influido en el diseño de este conjunto de herramientas, que demuestra características preferibles para un actor que opera en entornos potencialmente de alto riesgo y alta visibilidad». los investigadores escribieron.

Para Nobelium, estas prioridades incluyen el uso de canales confiables. Por ejemplo, los atacantes confían en Boombox, un programa de descarga que se utiliza para obtener una carga útil de una etapa posterior de una cuenta de Dropbox que controlan. Todas las comunicaciones iniciales utilizan la API de Dropbox a través de HTTPS, señalaron los investigadores.

También valoran la oportunidad de moderación. Al igual que otras herramientas utilizadas por este grupo, Boombox, VaporRage y algunas variantes de NativeZone hacen algunos perfiles en el entorno de un objetivo. Es plausible, dijeron los investigadores, que este diseño permita a Nobelium elegir sus objetivos y saber si podrían ser descubiertos si el implante se implementa en entornos desconocidos para los atacantes.

Y finalmente, los atacantes valoran la ambigüedad. VaporRage es un «cargador de código de shell único» visto como la carga útil de la tercera etapa, informó MSTIC, y puede descargar, decodificar y ejecutar una carga útil arbitraria completamente en la memoria.

«Estos patrones de diseño e implementación, que también incluyen la puesta en escena de cargas útiles en un sitio internet comprometido, obstaculizan las investigaciones forenses y los artefactos tradicionales, lo que permite que las cargas útiles únicas permanezcan sin descubrir», escribieron los investigadores.

Por supuesto, estas no son las únicas herramientas en las que se basa Nobelium. Desde diciembre, los investigadores de seguridad de la industria han identificado un grupo creciente de cargas útiles que utiliza el grupo. Estos incluyen el malware Teardrop, Sunspot, Raindrop, FlipFlop, GoldMax, GoldFinder y Sibot.

La investigación sobre las herramientas de los atacantes aún está en curso. El equipo de SentinelLabs, que se refiere al grupo como NobleBaron, descubrió que uno de los descargadores de NativeZone se está utilizando como parte de un «instalador inteligente envenenado» dirigido a aplicaciones de seguridad del gobierno de Ucrania. Como escribió Juan Andrés Guerrero-Saade en una publicación de blog site, Una DLL maliciosa fue diseñada para hacerse pasar por un componente legítimo de las claves criptográficas del Instituto de Tecnología de Ucrania.

Kelly Sheridan es la editora de particular de Dark Studying, donde se centra en noticias y análisis de ciberseguridad. Es una periodista de tecnología empresarial que anteriormente reportó para InformationWeek, donde cubrió Microsoft, y Seguros y tecnología, donde cubrió finanzas … Ver biografía completa

Lectura recomendada:

Más información





Enlace a la noticia unique