- Firma Microsoft wydała nowe ostrzeżenie przed cyberatakiem, w które zaangażowana jest grupa hakerów Nobelium.
- Próby ataków są teraz bardziej wiarygodne, ponieważ złośliwa strona korzysta z dawnego konta USAID.
- Zaatakowano już ponad 3000 kont powiązanych z agencjami rządowymi i pozarządowymi.
- Tom Burt z Microsoftu wyjaśnił dokładnie, w jaki sposób ten schemat phishingowy działa na jego ofiary.
Microsoft wydał poważne ostrzeżenie dotyczących cyberbezpieczeństwa dla wszystkich, ponieważ poziomy ataków ponownie zaczęły rosnąć.
Wspierana przez Rosję grupa Nobelium znów się tym zajmuje i tym razem zastosowana przez nią taktyka może oszukać nawet najbardziej czujnych obserwatorów.
Nobelium używa zhakowanego konta USAID do phishingu
Jak wspomnieliśmy powyżej, rosyjscy hakerzy zdobyli teraz platformę e-mail marketingu Constant Contact, używaną wcześniej przez USAID, w celu prowadzenia swoich podejrzanych interesów.
Szacunki pokazują, że ponad 3000 kont powiązanych z agencjami rządowymi, konsultantami, think tankami oraz innymi organizacjami pozarządowymi było celem tego programu phishingowego.
I chociaż większość wysiłków Nobelium koncentrowała się głównie na Stanach Zjednoczonych, według Microsoftu szkodliwa zawartość dotarła do ponad 24 krajów.
Tom Burt, wiceprezes ds. bezpieczeństwa klientów i zaufania w firmie Microsoft, wyjaśnił, w jaki sposób złośliwe oprogramowanie Native Zone zostało umieszczone na komputerach ofiar.
Nobelium rozpoczęło ataki w tym tygodniu, uzyskując dostęp do konta Constant Contact USAID. Stamtąd aktor był w stanie rozsyłać wiadomości phishingowe, które wyglądały na autentyczne, ale zawierały odsyłacz, który po kliknięciu wstawiał złośliwy plik używany do rozpowszechniania backdoora, który nazywamy strefą natywną. Ten backdoor może umożliwić szeroki zakres działań, od kradzieży danych po infekowanie innych komputerów w sieci.
Jako próbę nieoskarżania Microsoftu, pozwalając ludziom myśleć, że wady systemu mogły to ułatwić. W przypadku tych ataków Burton powiedział, że wiele e-maili zostało zablokowanych, w związku z czym można wykluczyć podatność dowolnych produktów Microsoftu na zewnątrz.
Jak Nobelium atakuje swoje ofiary?
Wiadomość e-mail, którą wysyłają hakerzy, zawiera link, a po kliknięciu tego linku przypomina to wręczanie złodziejom kluczy do twojego domu.
Po kliknięciu w wyżej wymieniony link, na daną maszynę jest dostarczane ISO, które: zawiera dokument wabiący, skrót i plik DLL wykonywalny za pomocą programu ładującego Cobalt Strike Beacon (Strefa Natywna).
Kiedy użytkownicy faktycznie uruchamiają ten skrót, biblioteka DLL jest wykonywana, a Nobelium ma bezpłatny dostęp do wszystkich Twoich danych, wydobywając w ten sposób dowolne informacje, a nawet może dostarczać dodatkowe złośliwe oprogramowanie.
Ta kampania rozpowszechniająca złośliwe oprogramowanie została po raz pierwszy odkryta w lutym 2021 r. przez firmę Microsoft, as szczegółowo w poście z Centrum analizy zagrożeń firmy Microsoft.
Microsoft wrzucił go do pełnej sprawności w walce z tymi złośliwymi grupami i pozyskał pomoc innych narodów, które są gotowe powstać i działać przeciwko uciskowi cybernetycznemu, według Tom Burt.
Microsoft będzie nadal współpracować z zainteresowanymi rządami i sektorem prywatnym, aby wspierać sprawę cyfrowego pokoju.
Pamiętaj, że internet to nie tylko fajne tapety, świetna muzyka i śmieszne filmy z kotami. Ochrona w tym niebezpiecznym środowisku cybernetycznym powinna być dla wszystkich priorytetem w trybie online.
Będziemy obserwować tę rozwijającą się historię i informować Cię o ewentualnych zmianach w tej sprawie, które mogą nastąpić. Jak być może już wiesz, zajmujemy się tematami, które obejmują: poważne zagrożenia ransomware.
Czy kiedykolwiek byłeś ofiarą cyberataków? Opowiedz nam o tym w sekcji komentarzy poniżej.
