Срочно. Хакеры SolarWinds атакуют аналитические центры с помощью нового бэкдора

Хакеры SolarWinds атакуют аналитические центры с помощью нового бэкдора. Фото: Pixabay

Том Берт, корпоративный вице-президент Microsoft по безопасности и доверию клиентов:

«Эта волна атак была нацелена на около 3 тыс. учетных записей электронной почты в более чем 150 различных организациях. По крайней мере четверть организаций, подвергшихся нападению, были вовлечены в международное развитие, гуманитарную деятельность и деятельность в области прав человека»

Microsoft приписала вторжения российскому злоумышленнику, который отслеживает, как Nobelium, и более широкому сообществу кибербезопасности под именами APT29, UNC2452 (FireEye), SolarStorm (Unit 42), StellarParticle (Crowdstrike) и Dark Halo (Volexity).

Последняя волна в серии вторжений, как сообщается, началась в январе 2021 года, прежде чем 25 мая достигла нового уровня эскалации. Атака использует законную службу массовой рассылки под названием Constant Contact.

Эти, казалось бы, подлинные электронные письма содержат ссылку, при нажатии на которую доставляется вредоносный файл образа оптического диска («ICA-declass.iso») для введения пользовательского имплантата Cobalt Strike Beacon, получившего название NativeZone («Documents.dll»), который имеет соответствующие возможности для обеспечения постоянного доступа, бокового перемещения, эксфильтрации данных и установки дополнительных вредоносных программ.

В другом варианте целевых атак Nobelium экспериментировал с профилированием целевой машины после того, как получатель электронной почты щёлкнул ссылку. В случае, если базовой операционной системой оказалась iOS, жертва перенаправлялась на второй удалённый сервер для отправки эксплойта для тогда ещё нулевого дня CVE-2021-1879 . Apple устранила этот недостаток 26 марта, признав, что «эта проблема могла быть активно использована».

Фирма по кибербезопасности Volexity, которая подтвердила выводы, заявила, что в кампании были выделены неправительственные организации (НПО), исследовательские институты, государственные учреждения и международные агентства, расположенные в США и Европе.

Последние атаки подтверждают повторяющуюся схему использования злоумышленником уникальной инфраструктуры и инструментов для каждой цели, тем самым давая злоумышленникам высокий уровень скрытности.

Том Берт, корпоративный вице-президент Microsoft по безопасности и доверию клиентов:

«В сочетании с атакой на SolarWinds становится ясно, что часть стратегии Nobelium - получить доступ к надёжным поставщикам технологий и заразить их клиентов. Путём совмещения обновлений программного обеспечения и теперь массовых поставщиков электронной почты, Nobelium увеличивает шансы сопутствующего ущерба в шпионских операциях и подрывает доверие к технологической экосистеме»