Русские хакеры!

новая дискуссия Дискуссия  165

Стоящие за резонансной атакой на SolarWinds хакеры Nobelium, которых исследователи связывают с российской разведкой, вновь в деле.

Microsoft Threat Intelligence Center (MSTIC) сообщили об обнаружении кампании целевого фишинга на 3000 адресов электронной почты более чем 150 организаций гуманитарной и правозащитной направленности в 24 странах, большая часть из которых приходиться на США.

Активность фиксировалась еще в январе 2021 года и постепенно превратилась в серию атак, кульминацией которых стала волна фишинга, реализованную через взломанный аккаунт, используемый Агентством США по международному развитию (USAID) на платформе электронного маркетинга Constant Contact.

В письмах утверждалось, что это предупреждение USAID о публикации экс-президентом США Дональдом Трампом новых документов о «фальсификации выборов», которые, по утверждению Трампа, имели место, когда он проиграл кампанию президенту Джо Байдену.

Преследуя цель получения доступ к проверенным поставщикам технологий и заражения их клиентов, Nobelium (или как их еще именуют APT29, UNC2452, SolarStorm, StellarParticle и Dark Halo) существенно увеличили эффективность своих атак, совместив обновления программного обеспечения и сервисы массовых поставщиков электронной почты.

Именно они и позволили хакерам успешно распространить фишинговые письма с ссылками, при нажатии на которую доставляется вредоносный файл образа ICA-declass.iso для введения пользовательского имплантата Cobalt Strike Beacon, получившего название NativeZone («Documents.dll»). Этот бэкдор реализует постоянный доступ, боковое перемещение, эксфильтрацию данных и установку дополнительных вредоносных ПО. В случае, если базовой операционной системой оказалась iOS, жертва перенаправлялась на второй удаленный сервер для отправки эксплойта для тогда еще нулевого дня CVE-2021-1879. Несмотря на то, что Apple устранила этот недостаток 26 марта, в компании признали, что «эта проблема могла быть активно использована».

Volexity в своем отчете также подтвердили данные MSTIC и сообщили, что некоторые неправительственные организации (НПО), исследовательские институты, государственные учреждения и международные агентства, расположенные на территории США и Европе, все же были взломаны.

Согласно отчёту, исследователи отмечают, что виртуозность и латентность атак достигается подбором Nobelium уникальной инфраструктуры и схемы инструментов для каждой своей цели. Кроме того, хакеры начали использовать платформу моделирования злоумышленников с открытым исходным кодом Sliver после того, как некоторые из их операций были раскрыты.

Несмотря на оперативную реакцию спецов из Microsoft и Volexity, которые разработали индикаторы компрометации (IoC) для обнаружения пользователями возможных атак, масштабы операции могут иметь гораздо более широкие контуры, которые, безусловно, станут отдельной темой анонсированных недавно переговоров Президентов США и России в Женеве.

А тем временем, Администрация Джо Байдена получило мощное  «ускорение» для реализации амбициозной стратегии по защите национальной инфраструктуры.

• +2.11 / 35