Microsoft avverte dell’attuale campagna di phishing del Nobelium che impersona USAID
Immagine: Microsoft
Avvertimento Microsoft Nobelium sta attualmente conducendo una campagna di phishing dopo che un gruppo sostenuto dalla Russia ha gestito gli account utilizzati da USAID sulla sua piattaforma di email marketing Constant Contact.
Secondo Microsoft, la campagna di phishing prende di mira circa 3.000 account collegati ad agenzie governative, gruppi di riflessione, consulenti e organizzazioni non governative. Gli Stati Uniti hanno ricevuto la maggior parte delle e-mail dannose, ma hanno raggiunto almeno 24 paesi.
“Obelium ha lanciato questa settimana” un attacco accedendo all’account USAID di Constant Contact, ha affermato Tom Bart, vicepresidente aziendale di Microsoft Customer Security and Trust.
Da lì, l’attaccante è stato in grado di distribuire un’e-mail di phishing che sembrava reale, ma quando è stata cliccata, conteneva un collegamento che inseriva un file dannoso utilizzato per distribuire una backdoor chiamata Native Zone. Questa backdoor ha infettato altri computer sulla rete a causa del furto di dati.
Burt ha aggiunto che molte delle email erano bloccate e non c’era motivo di credere che l’attacco fosse correlato a una vulnerabilità in un prodotto Microsoft.
La campagna è stata scoperta a febbraio e Microsoft ha osservato come Nobelium stesse cambiando il suo approccio all’inserimento di codice dannoso nei computer delle vittime. Posizione dichiarata dal Microsoft Threat Intelligence Center (MITC).
In un esempio, se un server controllato da Nobelium rileva un dispositivo Apple iOS, sarà WebKit Universal Cross-Site Scripting Vulnerability. Mercoledì Apple ha dichiarato di essere consapevole del fatto che la vulnerabilità è stata attivamente sfruttata.
淭la campagna del 25 maggio è stata ripetuta più volte. In un esempio, l’e-mail sembra provenire da USAID, ma l’e-mail del vero mittente corrisponde al servizio standard di Constant Contact. C’è un indirizzo, dice MTIC.
淭il suo indirizzo (che varia da destinatario a destinatario) termina con @ in.constantcontact.com e l’indirizzo di risposta è stato osservato.
Facendo clic sul collegamento verrà rilasciata una ISO dannosa contenente documenti esca, collegamenti e una DLL dannosa con un caricatore Cobalt Strike Beacon che Microsoft ha chiamato NativeZone. Quando viene eseguita la scorciatoia, la DLL verrà eseguita e Nobelium non potrà partecipare alla gara.
淚se questi carichi utili vengono distribuiti con successo, Nobelium avrà accesso permanente alla macchina compromessa, afferma MTIC.
Quindi, se questi payload dannosi vengono eseguiti correttamente, NOBELIUM potrebbe essere in grado di eseguire obiettivi di azione come movimenti laterali, violazioni dei dati e distribuzione di malware aggiuntivo.
MTIC ha aggiunto che Cobalt Strike Beacons ha utilizzato la porta 443 per chiamare il comando e il controllo dell’infrastruttura e ha fornito un elenco di tracce di intrusione nella sua postazione.
È chiaro che parte della guida di Nobelium consiste nell’accedere a fornitori di tecnologia affidabili e infettare i loro clienti. Seguendo gli aggiornamenti software e l’attuale massa di provider di posta elettronica, Nobelium sta spiando. Aumenta la probabilità di intrappolamento nell’ambiente e mina la fiducia nell’ecosistema tecnologico, ha affermato 淏ert.
淭questo si concentra su questi attacchi del Nobelium ai diritti umani e alle organizzazioni umanitarie, e inoltre su come gli attacchi informatici siano diventati lo strumento preferito da un numero sempre maggiore di stati-nazione per raggiungere vari obiettivi politici. Un altro esempio.
Bert ha chiesto regole su come i paesi operano online e sulle conseguenze della violazione.
淢icrosoft continuerà a collaborare con il governo volontario e il settore privato per promuovere la causa della pace digitale, ha affermato.
Nobelium SolarWinds Supply Chain Hack Ha visto le backdoor installate in migliaia di organizzazioni prima di invadere effettivamente nove agenzie federali statunitensi e circa 100 aziende statunitensi per rubare informazioni.
Microsoft ha richiamato il precedente frammento di malware utilizzato dai gruppi.
Mimecast ha detto che alcuni di loro a marzo Codice sorgente e record dei clienti sono stati presi come parte di un attacco SolarWinds.
Recensione Acer Swift X (2021): un laptop da 3 libbre con muscoli grafici
Secondo quanto riferito, Facebook è stato rinominato e abbiamo alcune idee
Con questa nuova funzione di Google Documenti, puoi aggiungere altro ai tuoi documenti
