Σύμφωνα με μία προειδοποίηση της Microsoft, η Nobelium διεξάγει αυτήν την περίοδο μια εκστρατεία ηλεκτρονικού ψαρέματος (phishing), χρησιμοποιώντας το λογαριασμό της USAID στην πλατφόρμα μάρκετινγκ ηλεκτρονικού ταχυδρομείου Constant Contact.
Δείτε επίσης: Η Microsoft διευκολύνει τον προγραμματισμό «σε απλά αγγλικά» με τα μοντέλα PowerFx και GPT-3 AI
Η εκστρατεία έχει στοχεύσει περίπου 3.000 λογαριασμούς που συνδέονται με κυβερνητικές υπηρεσίες, think tanks, συμβούλους και μη κυβερνητικές οργανώσεις, δήλωσε η Microsoft. Οι ΗΠΑ είχαν λάβει τον μεγαλύτερο όγκο κακόβουλων email, ωστόσο τουλάχιστον 24 χώρες ακόμα έχουν λάβει παρόμοια emails.
“Η Nobelium ξεκίνησε τις επιθέσεις αυτής της εβδομάδας αποκτώντας πρόσβαση στον λογαριασμό Constant Contact του USAID”, δήλωσε ο εταιρικός αντιπρόεδρος της Microsoft για την ασφάλεια και την εμπιστοσύνη των πελατών, Tom Burt.
“Από εκεί, μπόρεσε να διανείμει μηνύματα ηλεκτρονικού “ψαρέματος” που φαίνονταν αυθεντικά, αλλά περιλαμβάνουν έναν σύνδεσμο που όταν γίνεται κλικ σε αυτόν, εισάγει ένα κακόβουλο αρχείο που χρησιμοποιείται για τη διανομή backdoor που ονομάζουμε NativeZone. Αυτό θα μπορούσε να επιτρέψει ένα ευρύ φάσμα δραστηριοτήτων από την κλοπή δεδομένων έως τη μόλυνση άλλων υπολογιστών σε ένα δίκτυο.”
Δείτε ακόμα: Phishing εκστρατεία χρησιμοποιεί τηλεφωνικές κλήσεις για να παγιδεύσει τα θύματα!
Ο Burt πρόσθεσε ότι πολλά από τα μηνύματα ηλεκτρονικού ταχυδρομείου μπλοκαρίστηκαν και δεν υπάρχει λόγος να πιστεύουμε ότι οι επιθέσεις επηρεάζουν οποιαδήποτε ευπάθεια στα προϊόντα της Microsoft.
Η εκστρατεία ανακαλύφθηκε τον Φεβρουάριο και η Microsoft παρατήρησε πώς η Nobelium άλλαζε την προσέγγισή της για να μεταφέρει τον κακόβουλο κώδικα σε υπολογιστές θυμάτων, ανέφερε μια δημοσίευση από το Microsoft Threat Intelligence Center (MTIC).
Σε μία περίπτωση, εάν ένας διακομιστής ελεγχόμενος από τη Nobelium εντόπιζε μια συσκευή Apple iOS, εκμεταλλευόταν μια ευπάθεια WebKit. Η Apple δήλωσε την Τετάρτη ότι γνώριζε για την ευπάθεια.
Μόλις κάνετε κλικ στο σύνδεσμο, παραδίδεται ένα κακόβουλο ISO που περιέχει ένα έγγραφο δόλωμα, μια συντόμευση και ένα κακόβουλο DLL με ένα Cobalt Strike Beacon που η Microsoft ονόμασε NativeZone. Εάν εκτελεστεί η συντόμευση, εκτελείται το DLL και η Nobelium είναι πλέον ενεργή.
Δείτε επίσης: Microsoft: Μαζική εκστρατεία malware διανέμει fake ransomware!
Η MTIC πρόσθεσε ότι το Cobalt Strike Beacons χρησιμοποιεί τη θύρα 443 για να ζητήσει τον έλεγχο της υποδομής και παρείχε μία λίστα δεικτών παραβίασης στη θέση του.
Ο Burt ζήτησε κανόνες που σχετίζονται με το πώς λειτουργούν τα έθνη στο διαδίκτυο και να υπάρξουν συνέπειες για παραβιάσεις.
Η Nobelium είναι πιο γνωστή για το hack της αλυσίδας εφοδιασμού SolarWinds.
,){kind=link}