NOBELIUM APT zielt in massiver Spear-Phishing-Kampagne weltweit auf Regierungen ab
Inhaltsverzeichnis:
Microsoft-Experten haben eine bedeutende Veränderung in einer Spear-Phishing-Kampagne aufgedeckt, die von der mit Russland verbundenen NOBELIUM-APT gegen bedeutende Regierungsbehörden, Denkfabriken und NGOs weltweit gestartet wurde. Laut den Forschern griff das Hacker-Kollektiv mehr als 150 Organisationen in 24 Ländern an, mit dem Ziel, die Opfer mit Malware zu infizieren und verdeckten Zugang zu den internen Netzwerken zu erlangen. Bemerkenswerterweise wird angenommen, dass derselbe Akteur hinter dem epochalen SolarWinds-Lieferkettenangriff steckt, der im Dezember 2020 die Welt erschütterte.
Attack Kill Chain
Laut der Untersuchung von Microsoft begann die Phishing-Kampagne im Januar 2021 und umfasste eine breite Palette von Experimenten und Tests. Die Hacker wechselten zwischen verschiedenen Zustellmethoden und Techniken, um den schwerwiegendsten Effekt zu erzielen.
In den frühen Phasen der Kampagne missbrauchten Bedrohungsakteure die Google Firebase-Plattform, um eine bösartige ISO-Datei abzulegen und Benutzerprofile zu verfolgen, die mit den Phishing-Nachrichten interagierten. Sicherheitspraktiker glauben, dass es sich um eine anfängliche Aufklärungsphase handelte, da während dieses Zeitraums keine schädlichen Nutzlasten geliefert wurden. Weiterhin haben NOBELIUM Hacker ihre Vorgehensweise perfektioniert und begannen, HTML-E-Mail-Anhänge zu verwenden, um die Malware im HTML-Dokument zu verstecken. Nichtsdestotrotz war das Volumen der bösartigen E-Mails erheblich niedrig, was Anlass zu der Überlegung gab, dass es der letzte Testzyklus war.
Im Mai 2021 stellten Sicherheitsforscher einen deutlichen Anstieg der bösartigen Aktivitäten fest. Dieses Mal gelang es NOBELIUM-Hackern, die Kontrolle über das offizielle USAID-Konto auf der Constant Contact-Massen-E-Mail-Plattform zu übernehmen, um Nachrichten mit einem höheren Maß an Glaubwürdigkeit zu verbreiten. Die E-Mails enthielten einen bösartigen Link, der, wenn angeklickt, die Opfer zu einer gefälschten HTML-Datei umleitete, die zusätzliche Malware ablegte, die auf Cyber-Spionage abzielte. Insbesondere haben Sicherheitsforscher vier Muster (NativeZone, BoomBox, EnvyScout, VaporRage) im Verlauf der Kampagne nachverfolgt. Die Kombination dieser Strains ermöglichte es den NOBELIUM-Akteuren, sich seitlich durch die infizierte Umgebung zu bewegen, zweite Nutzlasten herunterzuladen und Informationen der Opfer zu exfiltrieren.
Mehr als 3.000 Konten, die mit 150 großen Regierungsressourcen, Beratungsgruppen und öffentlichen Einrichtungen verbunden sind, wurden angegriffen. Die massive Anzahl von Phishing-E-Mails löste die Erkennungssysteme aus, die die meisten von ihnen blockieren konnten. Dennoch könnten einige der früheren Nachrichten den automatisierten Erkennungsablauf aufgrund unsachgemäßer Konfiguration oder bevor die Schutzmaßnahmen eingeführt wurden, durchlaufen haben.
Erkennung der NOBELIUM-APT-Phishing-Angriffe
Obwohl einige Eindringlinge automatisch blockiert wurden, gelang es Angreifern, in Dutzende von Organisationen einzudringen. Um Ihre Unternehmensinfrastruktur zu schützen und mögliche Infektionen zu verhindern, können Sie ein Set von Sigma-Regeln herunterladen, das von unseren aufmerksamen Threat-Bounty-Entwicklern veröffentlicht wurde.
NOBELIUM CyberAttack Downloader Detection (via sysmon)
Bleiben Sie auf unserem Blog dran, um keine weiteren Erkennungen im Zusammenhang mit dieser bösartigen Kampagne zu verpassen. Alle neuen Regeln werden diesem Blogbeitrag hinzugefügt.
Abonnieren Sie den Threat Detection Marketplace kostenlos und erhalten Sie Zugriff auf eine umfangreiche Sammlung von SIEM- und EDR-Algorithmen, die auf die Unternehmensumgebung und das Bedrohungsprofil zugeschnitten sind. Unsere SOC-Inhaltsbibliothek aggregiert über 100.000 Abfragen, Parser, SOC-bereite Dashboards, YARA- und Snort-Regeln, Machine-Learning-Modelle und Incident-Response-Playbooks, die direkt auf CVE- und MITRE ATT&CK®-Frameworks abgebildet sind. Möchten Sie Ihre Fähigkeiten im Threat-Hunting meistern und Sigma-Regeln erstellen? Treten Sie dem Threat-Bounty-Programm von SOC Prime bei!
