O Microsoft Threat Intelligence Center (MSTIC) descobriu que hackers russos, que estão por trás do ataque à cadeia de suprimentos da SolarWinds, agora estão coordenando uma campanha de phishing que tem como alvo aproximadamente 3 mil contas de e-mail em mais de 150 organizações diferentes. As vítimas estão espalhadas por mais de 24 países, mas acredita-se que a maioria esteja nos Estados Unidos.
A campanha começou em janeiro e lentamente se transformou em uma série de ataques que culminaram com a onda de phishing na semana passada usando uma página falsa da Agência dos Estados Unidos para o Desenvolvimento Internacional, mais conhecida por seu acrônimo em inglês USAID.
Em uma postagem no blog da empresa, Tom Burt, vice-presidente corporativo da Microsoft para segurança e confiança do cliente, disse que o ataque parece ter como alvo agências governamentais, grupos de discussão, consultores e ONGs.
O grupo hacker por trás desses ataques foi rastreado como Nobelium pela Microsoft e provavelmente é apoiado pelo governo russo, segundo os pesquisadores da empresa. Os hackers enviaram e-mails de phishing usando a conta comprometida do Constant Contact da USAID, um serviço de marketing por e-mail. Eles criaram uma página falsa do Constant Contact, com aparência autêntica, para enviar e-mails de phishing. A postagem da Microsoft contém uma captura de tela de um desses e-mails, que afirmava conter um link para “documentos sobre fraude eleitoral” contra Donald Trump. No entanto, quando clicado, esse link instala um backdoor que permite que os invasores roubem dados ou infectem outros computadores na mesma rede.
A Microsoft disse acreditar que muitos dos ataques foram bloqueados automaticamente e que seu software antivírus Windows Defender também estejam limitando a disseminação do malware. A Agência de Segurança Cibernética e de Infraestrutura do Departamento de Segurança Interna (CISA) dos EUA reconheceu a postagem do blog da Microsoft e incentivou os administradores a aplicar as “medidas de mitigação necessárias”.
Veja isso
Cibercrime prefere usar Microsoft, DHL e Google em campanhas de phishing
Microsoft cria laboratório para testar defesas a ciberataques
A cadeia de infecção do Nobelium e as técnicas de entrega de malware evoluíram ao longo dos ataques, com as mensagens de spear phishing contendo anexos em HTML lançando um arquivo ISO (um formato de arquivo que contém todas as informações sobre o conteúdo de um CD ou DVD, seja ele de áudio, vídeo ou dados) nos discos rígidos das vítimas. Depois de montarem o arquivo ISO, as vítimas foram incentivadas a abrir os arquivos contidos nele (atalho LNK ou documentos RTF), que executariam uma DLL agrupada com o documento ou armazenada na imagem ISO, carregando Cobalt Strike Beacon no sistema.
“Se o dispositivo visado operasse com o Apple iOS, o usuário era redirecionado para outro servidor sob controle do grupo Nobelium, onde o exploit de dia zero [já corrigido para CVE-2021-1879] foi disseminado”, disse a Microsoft. Segundo a fabricante de software, a implantação bem-sucedida dessas cargas permite que os hackers obtenham acesso persistente aos sistemas comprometidos.
