- Microsoft har utstedt en ny varsel om nettangrep som involverer Nobelium-hackergruppen.
- Angrepsforsøk er nå mer troverdige, ettersom den ondsinnede parten bruker en tidligere USAID-konto.
- Mer enn 3000 kontoer som er knyttet til myndigheter og ikke-statlige byråer er allerede blitt angrepet.
- Microsofts Tom Burt har forklart nøyaktig hvordan denne phishing-ordningen fungerer mot ofrene.
Microsoft har gitt en alvorlig advarsel angående cybersikkerhet for alle der ute, ettersom angrepsnivåene har begynt å øke igjen.
Den russiskstøttede gruppen Nobelium er på gang igjen, og denne gangen kan taktikken de benyttet lure selv de mest årvåkne observatører.
Nobelium bruker en hacket USAID-konto for phishing
Som vi nevnte ovenfor, har de russiske hackerne nå fått tak i en Constant Contact e-postmarkedsføringsplattform som tidligere ble brukt av USAID, for å drive sin skyggefulle virksomhet.
Anslag viser at mer enn 3000 kontoer som er knyttet til offentlige etater, konsulenter, tenketanker, så vel som andre ikke-statlige organisasjoner, ble målrettet av denne phishing-ordningen.
Og selv om det meste av Nobeliums innsats hovedsakelig var konsentrert om USA, ser det ut til at det ondsinnede innholdet nådde mer enn 24 land, ifølge Microsoft.
Tom Burt, visepresident for kundesikkerhet og tillit fra Microsoft, forklarte hvordan Native Zone malware ble satt inn i offerets datamaskiner.
Nobelium lanserte ukens angrep ved å få tilgang til Constant Contact-kontoen til USAID. Derfra var skuespilleren i stand til å distribuere phishing-e-post som så autentiske ut, men inkluderte en lenke som, når den ble klikket, satte inn en ondsinnet fil som ble brukt til å distribuere en bakdør vi kaller Native Zone. Denne bakdøren kan muliggjøre et bredt spekter av aktiviteter fra å stjele data til å smitte andre datamaskiner i et nettverk.
Som et forsøk på å ikke inkriminere Microsoft, ved å la folk tenke at feil i systemet kan ha lett disse angrepene sa Burton at mange av e-postene ble blokkert, og dermed kan sårbarheten til Microsoft-produkter styres ute.
Hvordan angriper Nobelium ofrene sine?
E-posten som hackerne sender har en lenke inkludert, og når denne linken er klikket, er det omtrent som å gi tyver nøklene til huset ditt.
Etter å ha klikket på ovennevnte lenke, leveres en ISO til den aktuelle maskinen, det inneholder et lokkedokument, en snarvei og en DLL-kjørbar med en Cobalt Strike Beacon-laster (Native Zone).
Når brukere faktisk kjører denne snarveien, kjøres DLL og Nobelium har fri tilgang til alle dataene dine, og trekker dermed ut all informasjon de ønsker, og kan til og med levere ytterligere skadelig programvare.
Denne distribusjonskampanjen for skadelig programvare ble først oppdaget i februar 2021 av Microsoft, as detaljert i innlegget fra Microsoft Threat Intelligence Center.
Microsoft har sparket den i fullt utstyr i kampen mot disse ondsinnede gruppene og har vervet hjelpen av andre nasjoner som er villige til å stå opp og handle mot cyberundertrykkelse, ifølge Tom Burt.
Microsoft vil fortsette å samarbeide med villige myndigheter og den private sektoren for å fremme saken for digital fred.
Husk at internett ikke bare er kule bakgrunnsbilder, flott musikk og morsomme kattevideoer. Å være beskyttet i dette farlige nettmiljøet bør være alles første bekymring mens du er online.
Vi vil holde øye med denne utviklende historien og informere deg om eventuelle, om noen, endringer i denne saken som kan oppstå. Som du kanskje vet nå, dekker vi emner som involverer alvorlige ransomware-trusler.
Har du noen gang vært et offer for nettangrep? Fortell oss alt om det i kommentarfeltet nedenfor.
