Microsoft ha fornito ulteriori informazioni sul nuovo attacco di phishing effettuato dal gruppo Nobelium, lo stesso dell’attacco SolarWinds e considerato molto vicino ai servizi di intelligence russi. L’azienda di Redmond ha descritto il funzionamento dei quattro tool che rappresentano la catena di infezione.
L’attacco scoperto il 25 maggio è stato eseguito tramite l’invio di migliaia di email che sembravano provenire dall’account Constant Contact della US Agency for International Development (USAID), un servizio di email marketing. I quattro tool utilizzati da Nobelium sono: EnvyScout, BoomBox, NativeZone e VaporRage.
EnvyScout è un dropper, nascosto nell’allegato HTML delle email, che scarica sul computer un’immagine ISO, all’interno della quale c’è un link, un documento PDF e il file (nascosto) BOOM.exe. Quest’ultimo, eseguito se l’utente clicca sul link, è il downloader BoomBox che scarica due file in forma cifrata, uno dei quali è il loader NativeZone. Quest’ultimo esegue a sua volta il downloader VaporRage che scarica dal server remoto vari malware, tra cui Cobalt Strike.
Fortunatamente tutti i principali antivirus, tra cui Microsoft Defender e Microsoft Defender for Endpoint, rilevano e bloccano i suddetti malware. Microsoft ha prontamente informato i suoi clienti, nonostante non siano arrivate segnalazioni di attacchi subiti da un numero significativo di aziende. L’azienda di Redmond continuerà ovviamente a monitorare la situazione, lavorando a stretto contatto con le agenzie governative.