Llegamos a ustedes gracias a:



Alertas de Seguridad

Nobelium se dirige a más de 150 empresas

En una nueva campaña de correo electrónico masivo

[28/05/2021] El grupo de hackers rusos que está detrás del ataque a la cadena de suministro que envenenó las actualizaciones de software de la plataforma SolarWinds Orion ha estado perfeccionando sus ataques basados en el correo electrónico durante los últimos meses para plantar puertas traseras dentro de las organizaciones. Estos esfuerzos se intensificaron recientemente con un ataque lanzado desde una cuenta de correo electrónico secuestrada perteneciente a USAID y dirigido a unas tres mil personas de más de 150 organizaciones en 24 países.

El grupo de piratas informáticos, conocido en el sector de la seguridad como APT29, Cozy Bear, The Dukes y Nobelium, ha sido vinculado al Servicio de Inteligencia Exterior ruso (SVR) por los gobiernos de Estados Unidos y Reino Unido. Tiene un largo historial de ataques a organizaciones gubernamentales o vinculadas al gobierno, a veces utilizando exploits de día cero para obtener el acceso inicial. En esta última campaña de correo electrónico observada por Microsoft, alrededor de una cuarta parte de los objetivos de Nobelium eran organizaciones dedicadas al desarrollo internacional, a la ayuda humanitaria y a los derechos humanos.

"Las actividades de Nobelium y de otros actores similares tienden a estar relacionadas con temas de interés para el país desde el que operan", comentó Tom Burt, vicepresidente corporativo de Seguridad y Confianza del Cliente de Microsoft, en una entrada de blog. "En esta ocasión, Nobelium se dirigió a muchas organizaciones humanitarias y de derechos humanos. En el punto álgido de la pandemia de Covid-19, el actor ruso Strontium apuntó a organizaciones sanitarias relacionadas con las vacunas. En el 2019, Strontium apuntó a organizaciones deportivas y antidopaje. Y ya hemos revelado anteriormente la actividad de Strontium y otros actores dirigidos a las principales elecciones en los Estados Unidos y en otros lugares. Este es otro ejemplo de cómo los ciberataques se han convertido en la herramienta elegida por un número creciente de estados-nación para lograr una amplia variedad de objetivos políticos, con el enfoque de estos ataques de Nobelium en los derechos humanos y las organizaciones humanitarias".

En enero, después de que se descubriera el compromiso de SolarWinds, y se aconsejara a las organizaciones cómo detectar y protegerse contra las puertas traseras de Nobelium, el grupo cambió su enfoque hacia los ataques basados en el correo electrónico. Según Microsoft, estos empezaron lentamente y utilizaron funciones de la plataforma Firebase de Google para el desarrollo de aplicaciones móviles y web para alojar una imagen de disco ISO maliciosa, y luego elaborar correos electrónicos que rastrearan información sobre las computadoras de los usuarios que hicieran clic en las URL.

En una iteración posterior, el grupo pasó a utilizar un archivo adjunto HTML en lugar de una URL que, al abrirse, escribía el archivo ISO en el disco y animaba a los usuarios a abrirlo. Los archivos ISO se montan como unidades externas en el administrador de archivos de Windows y se puede acceder a su contenido. En este caso, la ISO falsa contenía un archivo de acceso directo (LNK) que, si se abría, cargaba una DLL maliciosa que era en realidad una versión personalizada del implante Cobalt Strike Beacon. Cobalt Strike es un marco de pruebas de penetración que ha sido adoptado por hackers y equipos rojos, y la baliza es la carga útil o puerta trasera que se deja caer en los sistemas comprometidos. La baliza Cobalt Strike personalizada utilizada por Nobelium ha sido denominada NativeZone por Microsoft. La ISO también contiene un documento señuelo que se abre al mismo tiempo para que el usuario no sospeche.

Las campañas de correo electrónico del grupo continuaron a lo largo de febrero, marzo y abril de forma selectiva, y con diversas modificaciones en la entrega de la carga útil y en las técnicas de reconocimiento. En lugar de utilizar Firebase para recopilar información sobre los sistemas objetivo, el grupo cambió de servicio e incrustó la funcionalidad directamente en el archivo adjunto del correo electrónico HTML. En otra oleada, añadió un implante de primera fase escrito en .NET, denominado BoomBox, que utilizaba Dropbox para alojar la información recopilada sobre el sistema de la víctima o para descargar archivos adicionales.

El 15 de mayo, el grupo lanzó su mayor campaña de correo electrónico, dirigida a tres mil cuentas individuales, elaborando correos electrónicos que parecían proceder de USAID y utilizando documentos de fraude electoral como cebo. Los correos electrónicos se enviaron a través de Constant Contact, un servicio legítimo de marketing por correo electrónico, después de que los hackers obtuvieran acceso a la cuenta de USAID en la plataforma.

Los correos electrónicos falsos tienen las cabeceras y direcciones de envío legítimas de Constant Contact, y contienen un enlace que apunta a la infraestructura de Constant Contact. Desde allí, el usuario es redirigido a un servidor y dominio controlados por Nobelium que sirve la ISO al usuario. Al igual que en campañas anteriores, la ISO contiene un archivo LNK, un documento PDF señuelo y la baliza personalizada Cobalt Strike.

"Los investigadores de seguridad de Microsoft evalúan que las operaciones de spear-phishing de Nobelium son recurrentes y han aumentado en frecuencia y alcance", anotó Microsoft en un análisis del ataque. "Se prevé que el grupo pueda llevar a cabo actividades adicionales utilizando un conjunto de tácticas en evolución".

La compañía ha hecho públicos los indicadores de compromiso de las campañas, así como un conjunto de recomendaciones para los usuarios que utilicen Microsoft Defender Antivirus, Microsoft Defender for Endpoint, Microsoft Office o sus productos online. Estas recomendaciones incluyen activar la protección en la nube, ejecutar el EDR en modo de bloqueo, habilitar la protección de la red, utilizar la autenticación de dos factores para las cuentas de correo electrónico y otros servicios que la soportan, utilizar la detección de dispositivos y habilitar una regla de reducción de la superficie de ataque que impida que las aplicaciones de Office creen procesos hijos.

El ataque aprovecha los servicios de terceros

Lo que hace que esta última campaña de correo electrónico de Nobelium destaque es que se lanzó desde una cuenta legítima comprometida en un servicio de terceros. Al igual que en el ataque a la cadena de suministro de SolarWinds, se abusa de una relación de confianza existente entre las víctimas y una organización. Los ataques de compromiso del correo electrónico comercial (BEC), en los que los hackers engañan a los empleados para que realicen pagos falsos haciéndose pasar por ejecutivos de la empresa, también utilizan a veces cuentas de correo electrónico pirateadas. Tampoco es la primera vez que Nobelium abusa de los servicios en línea o apunta a las empresas de TI para utilizarlas como plataforma de lanzamiento de sus ataques. El grupo también dedica mucho tiempo y esfuerzo al reconocimiento y la recopilación de información sobre las víctimas.

"Si a esto le sumamos el ataque a SolarWinds, está claro que parte del libro de jugadas de Nobelium consiste en acceder a proveedores de tecnología de confianza e infectar a sus clientes", sostuvo Burt, de Microsoft. "Al aprovecharse de las actualizaciones de software y ahora de los proveedores de correo electrónico masivo, Nobelium aumenta las posibilidades de daños colaterales en las operaciones de espionaje y socava la confianza en el ecosistema tecnológico".