Ataques de APT NOBELIUM a la cadena de suministro de TI global para espiar a clientes aguas abajo

[post-views]
octubre 26, 2021 · 5 min de lectura
Ataques de APT NOBELIUM a la cadena de suministro de TI global para espiar a clientes aguas abajo

¡El infame grupo APT Nobelium ataca de nuevo! Esta vez, el actor de amenaza respaldado por Rusia apunta a proveedores de servicios tecnológicos a escala global para espiar a sus clientes finales. Los hackers han atacado al menos a 140 organizaciones de servicios de TI desde mayo de 2021, con 14 de ellas siendo comprometidas con éxito.

Grupo APT NOBELIUM

Se cree que el grupo APT NOBELIUM (APT29, CozyBear y The Dukes) es una división de piratería secreta del Servicio de Inteligencia Exterior de Rusia (SVR). Es un jugador relativamente nuevo en el ámbito de las amenazas cibernéticas, con las primeras señales de actividad del APT rastreadas hasta finales de 2019. Desde entonces, NOBELIUM ha ganado una reputación como un colectivo de piratería altamente sofisticado que utiliza un impresionante lote de muestras de malware a medida para llevar a cabo intrusiones revolucionarias.

Inicialmente, NOBELIUM saltó a la fama después de que el gobierno de EE. UU. acusara al grupo de estar detrás del ataque a la cadena de suministro de SolarWinds que terminó con el compromiso de múltiples agencias del gobierno de EE. UU. NOBLEIUM introdujo cepas maliciosas en los sistemas de objetivos de alto perfil como el Departamento de Seguridad Nacional (DHS), la Agencia de Seguridad Cibernética e Infraestructura (CISA) y el Tesoro de EE. UU. para recopilar datos de vigilancia y obtener acceso persistente a la infraestructura.

Los analistas de seguridad de Microsoft asumen que NOBELIUM está constantemente elevando el nivel en el alcance y la sofisticación de las acciones maliciosas del APT. Desde principios de 2021, el actor de amenaza añadió varias nuevas muestras maliciosas a su kit de herramientas, incluyendo Sunburst, Sunspot, Teardrop, Goldmax, Sibot y GoldFinder. En mayo de 2021, el grupo lanzó una gran campaña de spear-phishing que se hacían pasar por USAID para atacar los activos gubernamentales de 24 países. Y entre el 1 de julio y el 19 de octubre de este año, Microsoft estima más de 22,868 intentos de hacking contra 609 proveedores.

Ataques de NOBELIUM a la Cadena de Suministro Global de TI

La nueva campaña, descubierta por Microsoft en octubre de 2021, comparte todos los atributos típicos de las tácticas de NOBELIUM. Para llegar a objetivos de alto perfil y mantener el acceso a los sistemas de interés, los actores patrocinados por el estado concentraron sus esfuerzos en proveedores de servicios tecnológicos.

NOBELIUM llevó a cabo intrusiones similares a al incidente de SolarWinds, penetrando las cuentas privilegiadas de proveedores de servicios tecnológicos para moverse lateralmente en entornos en la nube y espiar a los clientes finales. La mayoría de las intrusiones no dependieron de ninguna falla de seguridad, sino de herramientas y técnicas sofisticadas, incluyendo rociamiento de contraseñas, robo de tokens, ataques a la cadena de suministro, abuso de API y spear-phishing.

La campaña mostró que NOBELIUM intenta establecer un canal de vigilancia persistente que permita a los adversarios espiar a los objetivos de interés para el gobierno ruso. Afortunadamente, la campaña fue descubierta en sus primeras etapas, por lo que los proveedores de servicios de TI pueden asegurar sus sistemas contra los ataques maliciosos de NOBELIUM.

Microsoft ha notificado a todas las organizaciones afectadas y ha emitido un asesoramiento técnico para delinear las tácticas y técnicas de NOBELIUM.

DetecciĂłn de Ataques APT de NOBELIUM

Para proteger la infraestructura de su empresa contra los ataques de NOBELIUM, puede descargar un conjunto de reglas Sigma desarrolladas por el Equipo SOC Prime.

Ejecución de Comandos en Azure VM (a través de azureactivity)

La detecciĂłn tiene traducciones para las siguientes plataformas de ANALĂŤTICA DE SEGURIDAD SIEM: Azure Sentinel, ELK Stack, Splunk, Sumo Logic, ArcSight, QRadar, Humio, FireEye, Carbon Black, LogPoint, Graylog, Regex Grep, Microsoft PowerShell, RSA NetWitness, Apache Kafka ksqlDB, Qualys.

La regla está mapeada a la metodología MITRE ATT&CK abordando las tácticas de Ejecución, Evasión de Defensa, Persistencia, Escalada de Privilegios y Acceso Inicial. Particularmente, la detección aborda el Intérprete de Comandos y Scripts (t1059) así como las Cuentas Válidas (t1078) técnicas.

Actualización de Credenciales de Cuenta Principal del Servicio (a través de azuread)

La detecciĂłn tiene traducciones para las siguientes plataformas de ANALĂŤTICA DE SEGURIDAD SIEM: Azure Sentinel, ELK Stack, Splunk, Sumo Logic, ArcSight, QRadar, Humio, FireEye, Carbon Black, LogPoint, Graylog, Regex Grep, Microsoft PowerShell, RSA NetWitness, Apache Kafka ksqlDB, Qualys.

La regla está mapeada a la metodología MITRE ATT&CK abordando las tácticas de Persistencia. Particularmente, la detección aborda la sub-técnica de Credenciales Adicionales en la Nube (t1098.001) de la técnica de Manipulación de Cuentas (t1098).

Inicios de Sesión de Usuario No Interactivo (a través de azuread)

La detecciĂłn tiene traducciones para las siguientes plataformas de ANALĂŤTICA DE SEGURIDAD SIEM: Azure Sentinel, ELK Stack, Splunk, Sumo Logic, ArcSight, QRadar, Humio, FireEye, Carbon Black, LogPoint, Graylog, Regex Grep, Microsoft PowerShell, RSA NetWitness, Apache Kafka ksqlDB, Qualys.

La regla está mapeada a la metodología MITRE ATT&CK abordando las tácticas de Persistencia y la técnica de Manipulación de Cuentas (t1098).

Siga este enlace para encontrar más reglas de detección que cubren la actividad maliciosa del APT Nobelium.

Explore la plataforma Detection as Code de SOC Prime para defenderse contra ataques más rápido y de manera más eficiente que nunca. Busque instantáneamente las últimas amenazas dentro de más de 20 tecnologías SIEM XDR compatibles, aumente la conciencia de todos los últimos ataques en el contexto de vulnerabilidades explotadas y la matriz MITRE ATT&CK, y agilice sus operaciones de seguridad, mientras obtiene comentarios anonimizados de la comunidad global de ciberseguridad. ¿Entusiasta por crear su propio contenido de detección y obtener dinero por su contribución? ¡Únase a nuestro Programa de recompensas por amenazas!

Ir a la Plataforma Unirse a Recompensa por Amenazas

Tabla de Contenidos

ÂżFue Ăştil este artĂ­culo?

Dale me gusta y compártelo con tus compañeros.
Únase a la plataforma Detection as Code de SOC Prime para mejorar la visibilidad de las amenazas más relevantes para su negocio. Para ayudarle a comenzar y obtener un valor inmediato, reserve una reunión ahora con los expertos de SOC Prime.
Ăšnase Gratis Reserve una ReuniĂłn

Publicaciones relacionadas

Detección de Actividad del Grupo XE: Desde Skimming de Tarjetas de Crédito hasta la Explotación de Vulnerabilidades Zero-Day CVE-2024-57968 y CVE-2025-25181 en VeraCore
Blog, Ăšltimas Amenazas — 4 min de lectura
Detección de Actividad del Grupo XE: Desde Skimming de Tarjetas de Crédito hasta la Explotación de Vulnerabilidades Zero-Day CVE-2024-57968 y CVE-2025-25181 en VeraCore
Veronika Telychko
Detección de Lumma Stealer: Campaña Sofisticada Usando Infraestructura de GitHub para Propagar SectopRAT, Vidar, Cobeacon y Otros Tipos de Malware
Blog, Ăšltimas Amenazas — 4 min de lectura
Detección de Lumma Stealer: Campaña Sofisticada Usando Infraestructura de GitHub para Propagar SectopRAT, Vidar, Cobeacon y Otros Tipos de Malware
Veronika Telychko
Detección de puerta trasera TorNet: Una campaña continua de correos electrónicos de phishing utiliza malware PureCrypter para desplegar otras cargas
Blog, Ăšltimas Amenazas — 5 min de lectura
Detección de puerta trasera TorNet: Una campaña continua de correos electrónicos de phishing utiliza malware PureCrypter para desplegar otras cargas
Veronika Telychko