Nobelium, el grupo de amenazas detrás de la violación de SolarWinds, está llevando a cabo una campaña de phishing. En esta campaña de ataque, el grupo respaldado por Rusia tomó el control de la cuenta utilizada por USAID en Constant Contact, una plataforma de marketing por correo electrónico. Según Microsoft, la campaña se descubrió en febrero.
¿Lo que ha sucedido?
La campaña de phishing se dirigió a 3.000 cuentas conectadas a 150 think tanks, consultores, agencias gubernamentales y entidades no gubernamentales. Apuntó a 24 países, entre los que Estados Unidos es el más afectado.
- Los ataques se lanzaron al obtener acceso a la cuenta de Constant Contact de USAID. A partir de ahí, los actores pudieron distribuir correos electrónicos de phishing que parecían auténticos.
- Los correos electrónicos de phishing llevaban un enlace que insertaba un archivo malicioso, al hacer clic, distribuyendo la puerta trasera de NativeZone. Esta puerta trasera puede realizar una amplia gama de actividades.
- En un caso, cuando un servidor controlado por Nobelium detectó un dispositivo Apple iOS, presentó una vulnerabilidad WebKit UXSS. Apple confirmó que estaba al tanto de la explotación activa de la vulnerabilidad.
- En la campaña del 25 de mayo, se utilizaron algunas variaciones. En un caso, los correos electrónicos parecían haberse originado en USAID, mientras que una dirección de correo electrónico del remitente genuino coincidía con el servicio estándar de Constant Contact.
Cadena de infección de la campaña de phishing
La dirección de correo electrónico auténtica del remitente, que varía para cada destinatario, se observó en los correos electrónicos de phishing.
- Los correos electrónicos terminaban con @in [.] Constantcontact [.] Com y una dirección de respuesta de .
- Si se hace clic en el enlace dentro del correo electrónico, se elimina una ISO maliciosa con un acceso directo, un documento señuelo y una DLL maliciosa, junto con un cargador Cobalt Strike Beacon rastreado como NativeZone por Microsoft.
- Si se ejecuta el acceso directo, se ejecuta la DLL. La implementación exitosa de estas cargas útiles permite que el grupo logre un acceso persistente a las máquinas específicas.
- La ejecución de estas cargas útiles maliciosas podría permitir al grupo llevar a cabo objetivos de acción, como la exfiltración de datos, el movimiento lateral y la entrega de otro malware.
Conclusión
Nobelium ahora está obteniendo acceso a la infraestructura de proveedores de tecnología genuinos y se dirige a sus clientes. Además, al aprovechar las actualizaciones de software y los proveedores de correo electrónico masivo, el grupo ha aumentado sus posibilidades de daños colaterales en ataques de espionaje.