28 may. 2021

Los atacantes de SolarWinds crean nuevos Backdoors y métodos de ataque

Microsoft reveló que el actor de amenazas detrás del hackeo de la cadena de suministro de SolarWinds regresó al panorama de amenazas para apuntar a agencias gubernamentales, think tanks, consultores y organizaciones no gubernamentales ubicadas en 24 países, incluido EE.UU.

"Esta ola de ataques tuvo como objetivo aproximadamente 3.000 cuentas de correo electrónico en más de 150 organizaciones diferentes", dijo Tom Burt, vicepresidente corporativo de seguridad y confianza del cliente de Microsoft. "Al menos una cuarta parte de las organizaciones seleccionadas estaban involucradas en trabajo de desarrollo internacional, humanitario y de derechos humanos".

Microsoft atribuyó las intrusiones al actor de amenazas ruso que rastrea como Nobelium, y por la comunidad de ciberseguridad en general bajo los apodos APT29, Nobelium (Microsoft), NC2452 (FireEye), StellarParticle (CrowdStrike) SolarStorm (Palo Alto Unit 42), y Dark Halo (Volexity). Volexity también publicó un informe que vincula esta campaña de phishing con los operadores del Servicio de Inteligencia Exterior de Rusia (SVR), rastreados como APT29, Cozy Bear y The Dukes, basado en tácticas previamente utilizadas en ataques que se remontan a 2018.

Se dice que la última ola de una serie de intrusiones comenzó en enero de 2021, antes de alcanzar un nuevo nivel de escalada el 25 de mayo. El ataque aprovecha un servicio legítimo de correo masivo llamado Constant Contact para ocultar su actividad maliciosa y hacerse pasar por USAID, una organización de desarrollo con sede en EE.UU., para una campaña de phishing a gran escala que distribuye correos electrónicos de phishing a una amplia variedad de organizaciones y sectores verticales.

Estos correos electrónicos aparentemente auténticos incluyen un enlace que, cuando se hace clic, entrega un archivo de imagen de disco malicioso ("ICA-declass.iso") para inyectar un implante Cobalt Strike Beacon personalizado denominado NativeZone ("Documents.dll") que viene equipado con capacidades para mantener el acceso persistente, realizar movimientos laterales, filtrar datos e instalar malware adicional.

En otra variación de los ataques dirigidos, Nobelium experimentó con la creación de perfiles de la máquina objetivo después de que el destinatario del correo electrónico hiciera clic en el enlace. En el caso de que el sistema operativo subyacente resultara ser iOS, la víctima fue redirigida a un segundo servidor remoto para enviar un exploit para el entonces Zero/Day CVE-2021-1879. Apple abordó la falla el 26 de marzo, reconociendo que "este problema puede haber sido explotado activamente".

La firma de ciberseguridad Volexity, que corroboró los hallazgos, dijo que la campaña destacó a organizaciones no gubernamentales (ONG), instituciones de investigación, entidades gubernamentales y agencias internacionales ubicadas en Estados Unidos y Europa.

Los últimos ataques se suman a la evidencia del patrón recurrente del actor de amenazas de utilizar una infraestructura y herramientas únicas para cada objetivo, lo que brinda a los atacantes un nivel alto de sigilo y permanecen sin ser detectados durante períodos prolongados.

La naturaleza en constante evolución de Nobelium también es probable que sea una respuesta directa al incidente de SolarWinds altamente publicitado, lo que sugiere que los atacantes podrían continuar experimentando con sus métodos para alcanzar sus objetivos.

"Cuando se combina con el ataque a SolarWinds, está claro que parte del libro de jugadas de Nobelium es obtener acceso a proveedores de tecnología confiables e infectar a sus clientes", dijo Burt. "Al aprovechar las actualizaciones de software y ahora los proveedores de correo electrónico masivo, Nobelium aumenta las posibilidades de daños colaterales en las operaciones de espionaje y socava la confianza en el ecosistema tecnológico".

Fuente: THN

Suscríbete a nuestro Boletín

0 Comments:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info.

Gracias por comentar!