El atacante de SolarWinds Novellium ataca a más de 150 empresas con la última campaña de correo electrónico masivo

El grupo de piratería ruso Nobelium ha lanzado un ataque por correo electrónico en los últimos meses que instala puertas traseras dentro de instituciones y empresas detrás de un ataque a la cadena de suministro que comprometió las actualizaciones de software en la plataforma SolarWinds Orion.
Ⓒ Banco de imágenes de Getty

El ataque se vio reforzado por el reciente secuestro de cuentas de marketing por correo electrónico de la Agencia de los Estados Unidos para el Desarrollo Internacional (USAID), dirigido a más de 150 empresas y aproximadamente 3.000 personas en 24 países.

El grupo de ataque era conocido en la industria de la seguridad como APT29, Cozy Bear, The Dukes y Nobelium, que los gobiernos de EE. UU. Y Reino Unido han vinculado al Servicio de Inteligencia Exterior de Rusia (SVR).

Novellium tiene un largo historial de ataques a gobiernos o entidades relacionadas con el gobierno y, a veces, utiliza exploits de día cero para el acceso inicial. Aproximadamente una cuarta parte de los objetivos de Novellium en los recientes ataques por correo electrónico que Microsoft descubrió eran organizaciones involucradas en el desarrollo internacional, asuntos humanitarios y de derechos humanos.

“Las actividades de Novelium y organizaciones similares tienden a estar relacionadas con asuntos que preocupan a los países en los que operan”, dijo Tom Burt, vicepresidente de seguridad y confianza del cliente de Microsoft. Estaba dirigido a grupos humanitarios y de derechos humanos ”.

En el pico de la pandemia de Corona 19, el Strontium de Rusia atacó a un grupo médico relacionado con las vacunas. En 2019, Strontium atacó a grupos deportivos y antidopaje, y Microsoft dijo en el pasado que atacantes como Strontium se han dirigido a elecciones importantes en los Estados Unidos y en otros lugares. “Este es solo otro ejemplo del creciente número de países que optan por los ciberataques para lograr diversos propósitos políticos”, explicó Burt.


La entrega de carga útil y la selección de objetivos evolucionan con el tiempo

Después de que se descubrió el hack de SolarWinds en enero y se aconsejó a las empresas cómo detectar la puerta trasera de Novelium y protegerse, Novellium cambió a un ataque basado en correo electrónico.

Según Microsoft, el ataque comenzó lentamente y alojó imágenes de disco ISO maliciosas utilizando funciones de la plataforma de desarrollo de aplicaciones web y móviles de Google, Firebase. El correo electrónico elaborado de forma elaborada luego rastrea la información sobre la computadora del usuario que hizo clic en la URL.

En versiones posteriores, Novellium pasó a utilizar archivos adjuntos HTML en lugar de URL, por lo que cuando los usuarios los abren, los archivos ISO se escriben en el disco. Por lo tanto, Novellium atrae a los usuarios para que lo abran. El archivo ISO se carga como un controlador externo en el Administrador de archivos de Windows y un atacante puede acceder al contenido.

En este caso, el archivo ISO falso contiene un archivo de acceso directo (LNK) y, cuando se abre, carga una DLL maliciosa, una versión personalizada del implante Cobalt Strike Beacon. Cobalt Strike es una plataforma de prueba de penetración utilizada por piratas informáticos y el equipo RED, y las balizas son cargas útiles o puertas traseras que se colocan en sistemas comprometidos. La baliza de impacto de cobalto personalizada que utiliza Novellium es lo que Microsoft llama NativeZone. La ISO también incluye un documento de cebo que se abre al mismo tiempo, dejando al usuario desprevenido.

Los ataques por correo electrónico de Novellium continuaron como ataques dirigidos durante febrero, marzo y abril, y las técnicas de reconocimiento y entrega de carga útil cambiaron con frecuencia. En lugar de utilizar Firebase para recopilar información sobre el sistema de destino, Novellium se trasladó a otro servicio e incorporó la funcionalidad directamente en el archivo adjunto de correo electrónico HTML. Otro ataque agregó un implante primario escrito en .NET llamado BoomBox, que usaba Dropbox para alojar información recopilada sobre los sistemas de las víctimas o descargar archivos adicionales.

El 15 de mayo, Novellium lanzó su mayor campaña de correo electrónico. Los correos electrónicos se manipularon para que parecieran de USAID y utilizaron documentos de fraude electoral como cebo para atacar 3.000 cuentas personales. Los correos electrónicos se enviaron a través de un servicio legítimo de marketing por correo electrónico, Constant Contact. Esto fue posible porque los piratas informáticos obtuvieron acceso a las cuentas de USAID en la plataforma.

Este correo electrónico falsificado tiene un encabezado de contacto constante válido y una dirección de envío, y contiene un enlace que apunta a la infraestructura de contacto constante. Desde aquí, los usuarios son redirigidos a servidores y dominios controlados por Novelium que entregan ISO a los usuarios. Al igual que las campañas anteriores, ISO incluye archivos LNK, documentos PDF de cebo y balizas de impacto de cobalto personalizadas.

Al analizar el ataque, Microsoft dijo: “Los investigadores de seguridad de Microsoft creen que los ataques de spear phishing de Novellium se están produciendo repetidamente y evalúan que la frecuencia y el alcance han aumentado”. Se espera que actuemos ”, dijo.

Microsoft ha anunciado Indicadores de Compromiso (IOC) para esta campaña, así como los usuarios de Microsoft Defender Antivirus, Microsoft Defender for Endpoint, Microsoft Office o productos en línea. Presentó una serie de recomendaciones.

Por ejemplo, active la protección basada en la nube, ejecute EDR en modo de bloqueo, habilite la protección de red, use la autenticación de dos factores para las cuentas de correo electrónico y otros servicios, use la detección de dispositivos y habilite las aplicaciones de oficina. Algo así como activar reglas que reducen la superficie de ataque, como evitar que los procesos secundarios se reproduzcan.

Los ataques explotan servicios de terceros
En este último ataque por correo electrónico de Novelium es notable que el ataque se originó en una cuenta legítima comprometida en un servicio de terceros. Al igual que en el ataque a la cadena de suministro de SolarWinds, este ataque explota la relación de confianza existente entre la víctima y la organización.

Los ataques de Business Email Compromise (BEC) pretenden ser ejecutivos de la empresa y engañan a los empleados para que realicen pagos falsos. También utiliza una cuenta de correo electrónico pirateada de vez en cuando. No es la primera vez que Novellium se dirige a las empresas de TI para abusar de los servicios en línea o utilizarlos como punto de partida para ataques. Además, Novellium dedica mucho tiempo y esfuerzo al reconocimiento y la recopilación de información sobre las víctimas.

“Como se vio en el ataque Solarwinds, Novellium exhibe un comportamiento típico de infectar a sus clientes al obtener acceso a proveedores de tecnología confiables”, dijo Burt de Microsoft. “Nobelium aumenta la probabilidad de daños secundarios y socava la confianza en el ecosistema de TI”. [email protected]


Source: ITWorld Korea by www.itworld.co.kr.

*The article has been translated based on the content of ITWorld Korea by www.itworld.co.kr. If there is any problem regarding the content, copyright, please leave a report below the article. We will try to process as quickly as possible to protect the rights of the author. Thank you very much!

*We just want readers to access information more quickly and easily with other multilingual content, instead of information only available in a certain language.

*We always respect the copyright of the content of the author and always include the original link of the source article.If the author disagrees, just leave the report below the article, the article will be edited or deleted at the request of the author. Thanks very much! Best regards!