APT NOBELIUM Alvo de Governos em Todo o Mundo em uma Campanha Massiva de Spear-Phishing
Índice:
Os especialistas da Microsoft revelaram uma mudança significativa em uma campanha de spear-phishing lançada pela APT NOBELIUM, afiliada à Rússia, contra grandes agências governamentais, think tanks e ONGs globalmente. Segundo os pesquisadores, o coletivo hacker atacou mais de 150 organizações em 24 países com a intenção de infectar as vítimas com malware e obter acesso encoberto às redes internas. Notavelmente, acredita-se que o mesmo ator esteja por trás do ataque histórico SolarWinds de cadeia de suprimentos que atingiu o mundo em dezembro de 2020.
Cadeia de Morte do Ataque
De acordo com a investigação da Microsoft, a campanha de phishing começou em janeiro de 2021 e incluiu uma ampla gama de experimentos e testes. Os hackers alternaram entre vários métodos de entrega e técnicas para alcançar o impacto mais severo.
Nos estágios iniciais da campanha, os agentes de ameaça abusaram da plataforma Google Firebase para soltar um arquivo ISO malicioso e rastrear perfis de usuários que interagiam com as mensagens de phishing. Especialistas em segurança acreditam que foi uma fase inicial de reconhecimento, já que nenhuma carga útil maliciosa foi entregue durante esse período. Além disso, NOBELIUM os hackers aperfeiçoaram sua abordagem e começaram a usar anexos de e-mail HTML para esconder o malware dentro do documento HTML. No entanto, o volume de e-mails maliciosos foi consideravelmente baixo, dando margens para considerar que foi o ciclo final de teste.
Em maio de 2021, os pesquisadores de segurança detectaram um aumento significativo na atividade nefasta. Desta vez, os hackers do NOBELIUM conseguiram assumir o controle da conta oficial da USAID na plataforma de e-mails em massa Constant Contact para disseminar mensagens que aparentavam maior nível de credibilidade. Os e-mails entregavam um link malicioso que, se clicado, redirecionava as vítimas para um arquivo HTML falso que soltava malware adicional voltado para ciberespionagem. Particularmente, os pesquisadores de segurança rastrearam quatro amostras (NativeZone, BoomBox, EnvyScout, VaporRage) sendo entregues durante a campanha. A combinação desses tipos permitiu que os atores do NOBELIUM se movimentassem lateralmente pelo ambiente infectado, baixassem cargas úteis de segunda etapa e exfiltrassem informações das vítimas.
Mais de 3.000 contas vinculadas a 150 grandes ativos governamentais, grupos de consultoria e entidades públicas foram atacadas. A enorme quantidade de e-mails de phishing acionou os sistemas de detecção que puderam bloquear a maioria deles. No entanto, uma parte das mensagens anteriores pode ter escapado da rotina de detecção automatizada devido a configuração inadequada ou antes que as proteções fossem introduzidas.
Detectando Phishing APT NOBELIUM
Embora algumas intrusões tenham sido bloqueadas automaticamente, os adversários conseguiram penetrar em dezenas de organizações. Para proteger a infraestrutura da sua empresa e evitar possíveis infecções, você pode baixar um conjunto de regras Sigma lançadas por nossos desenvolvedores de Threat Bounty.
Detecção de Downloader de CyberAttack NOBELIUM (via sysmon)
Fique atento ao nosso blog para não perder novas detecções relacionadas a esta campanha nefasta. Todas as novas regras serão adicionadas a este post no blog.
Inscreva-se no Threat Detection Marketplace gratuitamente e acesse uma ampla coleção de algoritmos SIEM e EDR adaptados ao ambiente e perfil de ameaças da empresa. Nossa biblioteca de conteúdo SOC agrega mais de 100 mil consultas, parsers, painéis prontos para SOC, regras YARA e Snort, modelos de Machine Learning e Playbooks de Resposta a Incidentes mapeados diretamente para as estruturas CVE e MITRE ATT&CK®. Querendo aperfeiçoar sua habilidade de caça a ameaças e criar regras Sigma? Junte-se ao Programa Threat Bounty da SOC Prime!
