Tecnología

Los hackers de SolarWinds están de vuelta con una nueva campaña masiva, dice Microsoft

Los hackers de SolarWinds están de vuelta con una nueva campaña masiva, dice Microsoft

Los piratas informáticos respaldados por el Kremlin que atacaron a los clientes de SolarWinds en un ataque a la cadena de suministro fueron sorprendidos realizando una campaña de correo electrónico maliciosa dirigida a 150 agencias gubernamentales, institutos de investigación y otras organizaciones en los EE. UU. Y otros 23 países con malware vinculado, dijo Microsoft.

Los piratas informáticos que trabajaban para el servicio de inteligencia exterior ruso lograron inicialmente comprometer una cuenta con USAID, una agencia del gobierno de Estados Unidos que administra la ayuda civil y para el desarrollo. Con el control de la cuenta de la agencia para la empresa de marketing en línea Constant Contact, los piratas informáticos tenían la capacidad de enviar correos electrónicos que parecen usar direcciones propiedad de la agencia estadounidense.

Nobelium se convierte en nativo

«A partir de ahí, el actor pudo distribuir correos electrónicos de phishing que parecían auténticos pero que contenían un enlace que, al hacer clic, incluía un archivo malicioso que se usaba para distribuir una puerta trasera que llamamos NativeZone», escribió Tom Burt, vicepresidente de seguridad del cliente y Confianza en Microsoft Una publicación publicada el jueves por la noche. «Esa puerta trasera podría permitir una amplia gama de actividades, desde robar datos hasta infectar otras computadoras en una red».

La campaña fue dirigida por un grupo llamado Microsoft Nobelium, también conocido como APT29, Cozy Bear y The Dukes. La firma de seguridad Kaspersky ha dicho que el malware que pertenece al grupo se remonta a 2008, mientras que Symantec dijo que los piratas informáticos han estado apuntando a gobiernos y organizaciones diplomáticas desde al menos 2010. Aquí encontrará más información sobre las características de codificación inusuales y anticuadas de este grupo. En diciembre pasado, la notoriedad de Nobelium alcanzó un nuevo récord con el descubrimiento de que el grupo estaba detrás de la devastadora violación de SolarWinds, un fabricante de herramientas de administración de redes con sede en Austin, Texas. Después de que el software comprometiera completamente el sistema de desarrollo y distribución de SolarWinds, los piratas informáticos distribuyeron actualizaciones maliciosas a aproximadamente 18.000 clientes que utilizaron la herramienta llamada Orion. Luego, los piratas informáticos utilizaron las actualizaciones para comprometer a nueve agencias federales y alrededor de 100 empresas del sector privado, dijeron funcionarios de la Casa Blanca.

Explosión del pasado

El martes, Nobelium criticó 3.000 direcciones diferentes con correos electrónicos supuestamente destinados a transmitir una advertencia especial de USAID con respecto a los nuevos documentos que el ex presidente Trump publicó sobre el fraude electoral. Uno de los correos electrónicos se veía así:

Microsoft

Las personas que hicieron clic en el enlace fueron primero redirigidas al servicio legítimo de Constant Contact, pero poco después fueron redirigidas a un archivo alojado en los servidores de Nobelium, dijo Microsoft. Una vez que se redirigieron los destinos, JavaScript hizo que los dispositivos de los visitantes descargaran automáticamente un tipo de archivo conocido como imagen ISO.

Como muestra la siguiente imagen, la imagen contenía un archivo PDF, un archivo LNK llamado «Informes» y un archivo DLL llamado «Documentos» que estaba oculto de forma predeterminada.

Microsoft

Microsoft

Cuando un objetivo hace clic en el archivo del informe, abre el archivo PDF como un señuelo y ejecuta el archivo DLL en segundo plano. La DLL, a su vez, instaló la puerta trasera de NativeZone. Una publicación separada publicada por el Centro de Inteligencia de Amenazas de Microsoft (MSTIC) afirma que Nobelium pudo obtener acceso permanente a las computadoras comprometidas a través de la puerta trasera, lo que le permitió al grupo «realizar objetivos de acción como el movimiento lateral, la exfiltración de datos y el despliegue de malware «.

El ataque del martes fue solo la última ola de MSTIC, una campaña de spam malicioso generalizada que comenzó a fines de enero. Desde entonces, la campaña ha evolucionado en una serie de iteraciones que han mostrado «experimentos significativos».

Cuando Microsoft vio la campaña por primera vez, la ISO estaba alojada en Firebase, una plataforma en la nube de Google para aplicaciones web y móviles. Durante esta primera iteración, Microsoft dijo que la imagen ISO no contenía ninguna carga útil maliciosa. Esto llevó a los principales investigadores de la empresa a concluir que el propósito era «registrar los atributos de quienes accedían a la URL». En una etapa posterior, la campaña envió correos electrónicos que contenían un archivo HTML. Cuando se abrió, JavaScript escribió una imagen ISO en el disco y le pidió al objetivo que lo abriera.

La secuencia de esta última fase del ataque fue la siguiente:

Microsoft

iOS día cero

Nobelium continuó experimentando con varias variaciones. No se entregó ninguna carga útil ISO en una ola. En cambio, un servidor web controlado por Nobelium perfilaba el dispositivo objetivo. En el caso de que el dispositivo objetivo fuera un iPhone o iPad, un servidor entregó un exploit Zeroday para CVE-2021-1879, una vulnerabilidad de iOS que permitía a los piratas informáticos llevar a cabo un ataque universal de scripting entre sitios. Apple parcheó el Zeroday a finales de marzo.

La contribución de MSTIC del jueves por la noche continuó:

Los experimentos continuaron durante la mayor parte de la campaña, pero se intensificaron en abril de 2021. Durante las oleadas de abril, el actor dejó de usar Firebase y dejó de rastrear a los usuarios a través de una URL dedicada. Sus técnicas se han movido para codificar la ISO dentro del documento HTML y hacer que los responsables de almacenar los detalles del host de destino en un servidor remoto utilizando el servicio api.ipify.org. El actor a veces usaba auditorías para dominios internos específicos de Active Directory que detienen la ejecución del proceso malicioso si identifica un entorno no deseado.

En mayo de 2021, el actor volvió a cambiar las técnicas, manteniendo el combo HTML e ISO, pero dejó caer un implante de primera etapa .NET personalizado reconocido como TrojanDownloader: MSIL / BoomBox, que informa datos de reconocimiento basados ​​en host y cargas útiles adicionales descargadas de Dropbox. plataforma de almacenamiento en la nube.

El 25 de mayo, la campaña NOBELIUM se intensificó significativamente. Usando el servicio legítimo de correo masivo Constant Contact, NOBELIUM intentó apuntar a alrededor de 3,000 cuentas individuales en más de 150 organizaciones. Debido al gran volumen de la campaña, los sistemas automatizados bloquearon la mayoría de los correos electrónicos y los marcaron como spam. Sin embargo, los sistemas automatizados pueden haber entregado con éxito algunos de los correos electrónicos anteriores a los destinatarios.

La empresa de seguridad Volexity publicó este jueves su propio artículo, que contiene más detalles. A continuación: Se verificó el archivo Documents.DLL para detectar la presencia de entornos sandbox de seguridad y máquinas virtuales en los equipos de destino, como se muestra aquí:

Volexidad

Tanto MSTC como Volexity proporcionaron varios indicadores de compensaciones que las empresas pueden utilizar para determinar si fueron el objetivo de la campaña. MSTC continuó advirtiendo que la escalada de esta semana probablemente no será la última que veremos del Nobelium o su campaña de correo electrónico en curso.

«Los investigadores de seguridad de Microsoft estiman que las operaciones de spear phishing de Nobelium se han repetido y han aumentado en frecuencia y alcance», concluyó la contribución de MSTC. «Se espera que a medida que evolucionen las tácticas, el grupo pueda realizar actividades adicionales».

Más populares

To Top