Gli hacker di SolarWinds sono tornati
Buongiorno cari lettori, oggi parleremo degli hacker di SolarWinds che utilizzano le backdoors. NativeZone contro 24 paesi.
Microsoft ha rivelato che gli hacker di SolarWinds o gli attori delle minacce alla fama degli attacchi alla catena di approvvigionamento di SolarWinds sono tornati in azione. Questa volta si rivolgono ad agenzie governative, consulenti, gruppi di riflessione e organizzazioni non governative in 24 paesi.
Le scoperte di Microsoft sono state confermate dalla società di sicurezza informatica Volexity. La ricerca rivela che questa volta gli aggressori di SolarWinds hanno individuato ONG, istituti di ricerca, agenzie governative e internazionali negli Stati Uniti e in Europa.
Oltre 150 organizzazioni prese di mira finora
Secondo il Corporate VP di Microsoft per la sicurezza e la fiducia dei clienti, Tom Burt, l'ultima ondata di attacchi ha colpito 150 diverse organizzazioni e ha preso di mira circa. 3.000 account di posta elettronica.
"Almeno un quarto delle organizzazioni prese di mira erano coinvolte nello sviluppo internazionale, nel lavoro umanitario e nei diritti umani", ha scritto Burt in un post sul blog .
Attore russo sospettato di essere coinvolto
Microsoft afferma che un attore di minacce russo è stato tracciato con identità diverse, tra cui Nobelium , APT29 . UNC2452, Dark Halo, SolarStorm e StellarParticle potrebbero essere responsabili dell'intrusione. Si dice che l'attaccante sia collegato ai servizi segreti russi.
“Se unito all'attacco a SolarWinds, è chiaro che parte del playbook di Nobelium è ottenere l'accesso a fornitori di tecnologia affidabili e infettare i loro clienti. Basandosi sugli aggiornamenti software e ora sui provider di posta elettronica di massa, Nobelium aumenta le possibilità di danni collaterali nelle operazioni di spionaggio e mina la fiducia nell'ecosistema tecnologico", ha aggiunto Burt.
Come funziona?
La recente ondata di attacchi è iniziata nel gennaio 2021 e ha raggiunto il suo picco il 25 maggio. L'attacco inizia come una campagna di phishing e sfrutta un servizio di mailing di massa noto come Constant Contact. Per nascondere l'attività dannosa, l'hanno mascherata da USAID. L'e-mail di phishing dannosa viene distribuita a un'ampia varietà di verticali e organizzazioni del settore.
Gli hacker di SolarWinds tornano con la backdoor NativeZone contro 24 paesi
Email di phishing inviata dagli hacker
Le e-mail dall'aspetto innocuo contengono un collegamento che, se cliccato, fornisce immediatamente un file immagine dannoso del disco ottico intitolato ICA-declass.iso e inietta un impianto Cobalt Strike Beacon personalizzato chiamato NativeZone tramite Documents.dll.
Gli hacker di SolarWinds tornano con la backdoor NativeZone contro 24 paesi
Esempio Flusso della catena dell'infezione.
È dotato di manutenzione dell'accesso persistente, capacità di esfiltrazione dei dati e può anche installare malware aggiuntivo. Esiste un'altra variante dell'attacco in cui Nobelium ha sperimentato la profilazione della macchina target avviata dopo che il destinatario dell'email ha fatto clic sul collegamento.
Se il sistema preso di mira è basato su iOS, la vittima verrà reindirizzata a un nuovo server remoto da cui verrà inviato un exploit per lo zero-day CVE-2021-1879 , che Apple ha già affrontato il 26 marzo.
