La APT NOBELIUM Apunta a Gobiernos de Todo el Mundo en una Campaña Masiva de Spear-Phishing

[post-views]
junio 02, 2021 · 3 min de lectura
La APT NOBELIUM Apunta a Gobiernos de Todo el Mundo en una Campaña Masiva de Spear-Phishing

Expertos de Microsoft han revelado un cambio significativo en una campaña de spear-phishing lanzada por NOBELIUM APT, afiliado a Rusia, contra importantes agencias gubernamentales, think tanks y ONG a nivel mundial. Según los investigadores, el colectivo de hackers atacó a más de 150 organizaciones en 24 países con la intención de infectar a las víctimas con malware y obtener acceso encubierto a las redes internas. Notablemente, se cree que el mismo actor está detrás del histórico ataque de la cadena de suministro de SolarWinds que impactó al mundo en diciembre de 2020.

Cadena de Ataque

Según la investigación de Microsoft, la campaña de phishing comenzó en enero de 2021 e incluyó una amplia gama de experimentos y ensayos. Los hackers alternaban entre varios métodos de entrega y técnicas para lograr el impacto más severo.

En las primeras etapas de la campaña, los actores de amenaza abusaron de la plataforma Google Firebase para soltar un archivo ISO malicioso y rastrear perfiles de usuarios que interactuaron con los mensajes de phishing. Los profesionales de seguridad creen que fue una fase inicial de reconocimiento ya que no se entregaron cargas maliciosas durante este período. Además, los hackers de NOBELIUM perfeccionaron su enfoque y comenzaron a usar archivos adjuntos de correo electrónico HTML para ocultar el malware dentro del documento HTML. No obstante, el volumen de correos electrónicos maliciosos fue considerablemente bajo, lo que da pie a considerar que fue el ciclo de prueba final.

En mayo de 2021, los investigadores de seguridad detectaron un aumento importante en la actividad nefasta. Esta vez, los hackers de NOBELIUM tomaron el control del cuenta oficial de USAID en la plataforma de envío masivo de correos electrónicos Constant Contact para difundir mensajes con un mayor nivel de credibilidad. Los correos electrónicos entregaron un enlace malicioso que, si se hacía clic, redirigía a las víctimas a un archivo HTML falso que descargaba malware adicional destinado al ciberespionaje. Particularmente, los investigadores de seguridad han rastreado cuatro muestras (NativeZone, BoomBox, EnvyScout, VaporRage) entregadas durante el transcurso de la campaña. La combinación de estas cepas permitió a los actores de NOBELIUM moverse lateralmente a través del entorno infectado, descargar cargas útiles de segunda etapa y exfiltrar la información de las víctimas.

Más de 3,000 cuentas vinculadas a 150 importantes activos gubernamentales, grupos de consultoría y entidades públicas fueron atacadas. La enorme cantidad de correos electrónicos de phishing activó los sistemas de detección que pudieron bloquear la mayoría de ellos. Sin embargo, una parte de los mensajes anteriores puede haber pasado la rutina de detección automatizada debido a una configuración incorrecta o antes de que se introdujeran las protecciones.

Detección de Phishing de NOBELIUM APT

Aunque algunas intrusiones fueron bloqueadas automáticamente, los adversarios pudieron penetrar en decenas de organizaciones. Para proteger la infraestructura de su empresa y prevenir posibles infecciones, puede descargar un conjunto de reglas Sigma publicado por nuestros desarrolladores expertos en Threat Bounty.

Campañas de Phishing de APT29

Detección del Descargador de Ciberataques NOBELIUM (a través de sysmon)

Permanezca atento a nuestro blog para no perderse futuras detecciones relacionadas con esta nefasta campaña. Todas las nuevas reglas se añadirán a esta publicación del blog.

Suscríbase al Marketplace de Detección de Amenazas de forma gratuita y acceda a una amplia colección de algoritmos SIEM y EDR adaptados al entorno y perfil de amenazas de la empresa. Nuestra biblioteca de contenido SOC agrupa más de 100K consultas, analizadores, paneles listos para SOC, reglas YARA y Snort, modelos de Machine Learning y Libros de Respuesta a Incidentes mapeados directamente con los marcos CVE y MITRE ATT&CK®. ¿Esfuerzos por dominar su habilidad de caza de amenazas y crear reglas Sigma? ¡Únase al Programa de Threat Bounty de SOC Prime!

Ir a la Plataforma Unirse a Threat Bounty

Tabla de Contenidos

¿Fue útil este artículo?

Dale me gusta y compártelo con tus compañeros.
Únase a la plataforma Detection as Code de SOC Prime para mejorar la visibilidad de las amenazas más relevantes para su negocio. Para ayudarle a comenzar y obtener un valor inmediato, reserve una reunión ahora con los expertos de SOC Prime.
Únase Gratis Reserve una Reunión

Publicaciones relacionadas

Detección de Ataques de Mocha Manakin: Hackers Difunden un Backdoor Personalizado de NodeJS Apodado NodeInitRAT Usando la Técnica de Pegado y Ejecución 5 min de lectura Últimas Amenazas Detección de Ataques de Mocha Manakin: Hackers Difunden un Backdoor Personalizado de NodeJS Apodado NodeInitRAT Usando la Técnica de Pegado y Ejecución by Veronika Telychko Uncoder AI Visualiza el Comportamiento de Amenazas con Flujo de Ataque Automatizado 2 min de lectura Plataforma SOC Prime Uncoder AI Visualiza el Comportamiento de Amenazas con Flujo de Ataque Automatizado by Steven Edwards Detección de Campaña de Gamaredon: Grupo APT Respaldado por Rusia Ataca a Ucrania Usando Archivos LNK para Propagar el Backdoor Remcos 5 min de lectura Últimas Amenazas Detección de Campaña de Gamaredon: Grupo APT Respaldado por Rusia Ataca a Ucrania Usando Archivos LNK para Propagar el Backdoor Remcos by Veronika Telychko
Todas las noticias