NOBELIUM APT Prende di Mira i Governi di tutto il Mondo con una Massiccia Campagna di Spear-Phishing
Indice:
Gli esperti di Microsoft hanno rivelato un cambiamento significativo in una campagna di spear-phishing lanciata dal gruppo APT NOBELIUM affiliato alla Russia contro principali agenzie governative, think tank e ONG a livello globale. Secondo i ricercatori, il collettivo di hacker ha attaccato più di 150 organizzazioni in 24 paesi con l’intento di infettare le vittime con malware e ottenere accesso segreto alle reti interne. Notevolmente, si ritiene che lo stesso attore sia dietro l’attacco alla supply-chain di SolarWinds che ha colpito il mondo a dicembre 2020.
Catena di Attacco
Secondo l’ indagine di Microsoft, la campagna di phishing è iniziata a gennaio 2021 e ha incluso una vasta gamma di esperimenti e prove. Gli hacker hanno variato tra diversi metodi e tecniche di consegna per raggiungere l’impatto più grave.
Nelle fasi iniziali della campagna, gli attori di minacce hanno abusato della piattaforma Google Firebase per rilasciare un file ISO dannoso e tracciare i profili degli utenti che interagivano con i messaggi di phishing. Gli esperti di sicurezza ritengono che fosse una fase di ricognizione iniziale poiché durante questo periodo non sono stati consegnati carichi utili dannosi. Inoltre, NOBELIUM gli hacker hanno perfezionato il loro approccio e hanno iniziato a usare allegati email HTML per nascondere il malware nel documento HTML. Tuttavia, il volume di email dannose era considerevolmente basso, lasciando presumere che fosse il ciclo finale di prova.
Nel maggio 2021, i ricercatori di sicurezza hanno rilevato un forte aumento dell’attività nefasta. Questa volta gli hacker di NOBELIUM hanno assunto con successo il controllo dell’account ufficiale di USAID nella piattaforma di mailing di massa Constant Contact per diffondere messaggi che vantavano un livello maggiore di credibilità . Le email fornivano un link dannoso che, se cliccato, reindirizzava le vittime a un file HTML falso che rilasciava ulteriore malware mirato allo spionaggio informatico. In particolare, i ricercatori di sicurezza hanno monitorato quattro campioni (NativeZone, BoomBox, EnvyScout, VaporRage) distribuiti durante la campagna. La combinazione di questi ceppi ha permesso agli attori di NOBELIUM di muoversi lateralmente attraverso l’ambiente infetto, scaricare payload di secondo stadio ed esfiltrare informazioni delle vittime.
Più di 3.000 account legati a 150 risorse governative importanti, gruppi di consulenza ed enti pubblici sono stati attaccati. L’enorme quantità di email di phishing ha attivato i sistemi di rilevamento che sono riusciti a bloccarne la maggior parte. Tuttavia, una parte dei messaggi precedenti potrebbe essere passata attraverso la routine di rilevamento automatizzato a causa di una cattiva configurazione o prima dell’introduzione delle protezioni.
Rilevazione del Phishing di NOBELIUM APT
Sebbene alcune intrusioni siano state bloccate automaticamente, gli avversari sono stati in grado di penetrare in dozzine di organizzazioni. Per proteggere la tua infrastruttura aziendale e prevenire possibili infezioni, puoi scaricare un set di regole Sigma rilasciato dai nostri abili sviluppatori di Threat Bounty.
Rilevamento del Downloader di CyberAttacco NOBELIUM (tramite sysmon)
Resta sintonizzato sul nostro blog per non perdere ulteriori rilevamenti legati a questa nefasta campagna. Tutte le nuove regole verranno aggiunte a questo post del blog.
Iscriviti gratuitamente al Marketplace di Detection delle Minacce e accedi a un’estesa raccolta di algoritmi SIEM e EDR progettati per l’ambiente e il profilo di minaccia dell’azienda. La nostra libreria di contenuti SOC aggrega oltre 100K query, parser, dashboard SOC-ready, regole YARA e Snort, modelli di Machine Learning e Playbook di Risposta agli Incidenti mappati direttamente ai framework CVE e MITRE ATT&CK®. Ti sforzi di padroneggiare le tue competenze nel threat hunting e creare regole Sigma? Unisciti al Programma Threat Bounty di SOC Prime!
