- Microsoft har utfärdat en ny cyberattackvarning som involverar Nobelium-hackargruppen.
- Attackförsök är nu mer trovärdiga, eftersom den skadliga parten använder ett tidigare USAID-konto.
- Mer än 3000 konton som är länkade till myndigheter och icke-statliga organ har redan attackerats.
- Microsofts Tom Burt har förklarat exakt hur detta nätfiske fungerar mot dess offer.
Microsoft har utfärdat en allvarlig varning när det gäller cybersäkerhet för alla där ute, eftersom attacknivåerna har börjat öka igen.
Den ryskstödda gruppen Nobelium är på väg igen och den här gången kan den taktik de använde lura även de mest vaksamma observatörerna.
Nobelium använder ett hackat USAID-konto för nätfiske
Som vi nämnde ovan har de ryska hackarna nu fått tag på en Constant Contact-e-postmarknadsplattform som tidigare användes av USAID för att bedriva sin skumma affär.
Uppskattningar visar att mer än 3000 konton som är kopplade till myndigheter, konsulter, tankesmedjor, liksom andra icke-statliga organisationer, var inriktade på detta nätfiskeprogram.
Och även om det mesta av Nobeliums ansträngningar mest koncentrerades till USA, verkar det som om det skadliga innehållet nådde mer än 24 länder, enligt Microsoft.
Tom Burt, vice president för kundsäkerhet och förtroende från Microsoft, förklarade hur Native Zone-skadlig programvara infördes i offrets datorer.
Nobelium inledde veckans attacker genom att få tillgång till USAID: s Constant Contact-konto. Därifrån kunde skådespelaren distribuera phishing-e-postmeddelanden som såg autentiska ut men inkluderade en länk som, när man klickade på den, infogade en skadlig fil som användes för att distribuera en bakdörr som vi kallar Native Zone. Denna bakdörr kan möjliggöra ett brett utbud av aktiviteter från att stjäla data till att infektera andra datorer i ett nätverk.
Som ett försök att inte inkriminera Microsoft genom att låta folk tro att brister i systemet kan ha underlättat dessa attacker sa Burton att många av e-postmeddelandena blockerades, vilket kan leda till sårbarhet för alla Microsoft-produkter ut.
Hur attackerar Nobelium sina offer?
E-postmeddelandet som hackarna skickar innehåller en länk och när den här länken har klickats är det ungefär som att lämna tjuvarna till ditt hus.
Efter att ha klickat på ovanstående länk levereras en ISO till maskinen i fråga, det vill säga innehåller ett lokkedokument, en genväg och en DLL-körbar med en Cobalt Strike Beacon-lastare (Native Zone).
När användare faktiskt kör den här genvägen körs DLL: n och Nobelium har fri tillgång till all din data, vilket extraherar all information de vill ha och kan till och med leverera ytterligare skadlig kod.
Denna kampanj för distribution av skadlig kod upptäcktes först i februari 2021 av Microsoft, som detaljerad i inlägget från Microsoft Threat Intelligence Center.
Microsoft har sparkat den i full redskap i striden mot dessa skadliga grupper och har anlitat hjälp av andra nationer som är villiga att stå upp och agera mot cyberförtryck, enligt Tom Burt.
Microsoft kommer att fortsätta att arbeta med villiga regeringar och den privata sektorn för att främja orsaken till digital fred.
Kom ihåg att internet inte bara är coola bakgrundsbilder, bra musik och roliga kattvideor. Att vara skyddad i denna farliga cybermiljö bör vara allas första bekymmer när man är online.
Vi kommer att hålla koll på denna utvecklingshistoria och informera dig om eventuella förändringar i denna fråga som kan inträffa. Som du kanske vet nu täcker vi ämnen som involverar allvarliga hot mot ransomware.
Har du någonsin varit offer för cyberattacker? Berätta allt om det i kommentarfältet nedan.
