Microsoft ha scoperto una nuova campagna di spear phishing attuata dal Nobelium, lo stesso gruppo di cybercriminali (noto anche come Cozy Bear o APT29) responsabile dell’attacco contro i clienti di SolarWinds. Secondo l’azienda di Redmond sono stati colpiti circa 3.000 account email di oltre 150 organizzazioni in almeno 24 paesi.
Nobelium colpisce ancora
L’attacco scoperto il 25 maggio è stato eseguito da Nobelium dopo aver guadagnato l’accesso all’account Constant Contact della US Agency for International Development (USAID), un servizio di email marketing. I cybercriminali hanno quindi inviato migliaia di email di phishing che sembravano provenire dal mittente originale (USAID appunto).
Nel corpo del messaggio è presente un link che, se cliccato, porta ad un sito gestito da Nobelium e innesca il download di un file .ISO, all’interno del quale c’è un altro link, un documento PDF e una DLL. Cliccando il link viene eseguito il loader Cobalt Strike che installa la backdoor NativeZone sul computer. A questo punto, i cybercriminali prendono il controllo del sistema e possono eseguire diverse azioni, tra cui il furto di dati sensibili.
Ulteriori informazioni tecniche sono disponibili sul sito del Microsoft Threat Intelligence Center (MSIC). La maggioranza degli attacchi sono bloccati automaticamente da Microsoft Defender o altre soluzioni di sicurezza. L’azienda di Redmond sottolinea che questi attacchi non sfruttano nessuna vulnerabilità dei prodotti Microsoft.
Secondo il governo statunitense, Nobelium è legato al Foreign Intelligence Service (SVR) della Russia. Il Presidente Biden ha annunciato sanzioni e espulso 10 diplomatici russi da Washington, in seguito all’attacco SolarWinds.