O Centro de Inteligência em Ameaças da Microsoft (MSTIC) descobriu uma campanha de larga escala de spear phishing de autoria do Nobelium – o grupo de hackers por trás dos ataques recentes da SolarWinds e do malware backdoor SUNBURST utilizado no cibercrime.
De fato, o Nobelium continua a atacar as agências governamentais dos Estados Unidos e as organizações privadas da área. O grupo conseguiu sequestrar uma conta de distribuição de e-mails utilizada pela Agência de Desenvolvimento Internacional dos EUA (USAID), enviando milhares de mensagens (aparentemente legítimas, mas maliciosas) para uma variedade de grupos de direitos humanos, think tanks (gabinetes estratégicos para políticas públicas) e outras organizações sem fins lucrativos.
O que sabemos sobre o último ataque do Nobelium?
A Microsoft declarou que está rastreando essa nova campanha desde Janeiro, mantendo a vigilância à medida que os cibercriminosos experimentaram variadas táticas em uma menor escala. No dia 25 de maio, a campanha escalou significativamente quando o Nobelium assumiu o controle da conta da USAID a partir do serviço de envio de massa de e-mails Constant Contact.
O grupo se aproveitou desse serviço confiável para distribuir mensagens de spear phishing com URLs maliciosas. Se clicados, esses links distribuem um novo backdoor – que a Microsoft está chamando de “NativeZone” -, que permite que os hackers roubem dados e disseminem mais malwares.
Cerca de 3 mil contas individuais em mais de 150 organizações foram visadas. A maioria das vítimas estava baseada nos EUA, mas a lista abrange no mínimo 24 países. Ao menos um quarto das organizações miradas pelos hackers tinha envolvimento em trabalhos humanitários e de desenvolvimento internacional.
O comportamento do Nobelium nos últimos meses é típico das modernas ameaças de malware, que passam por uma rápida evolução à medida que os cibercriminosos buscam encontrar frentes mais efetivas de ataque e escapar de mecanismos de detecção. Somente na campanha do dia 25, diversas variações da mensagem de phishing foram identificadas.
Entre este último ataque e o da SolarWinds há alguns meses, está claro que o objetivo do Nobelium é se infiltrar em grandes provedores de tecnologia e infectar seus clientes, tirando vantagem da sólida confiança dos usuários nessas companhias.
FONTE/LEIA MAIS: Acronis Blog
Créditos da imagem: stories
