Microsoft Threat Intelligence Center, ha descubierto una campaña de correo electrónico malicioso, el actor de amenaza detrás de los ataques es el mismo que estuvo en el ataque de SolarWinds llamado NOBELIUM.
Los investigadores de Microsoft comunico que esta campaña se ha estado observando desde enero 2021 hasta la fecha, pero el 25 de mayo la campaña se intensificó cuando el atacante se aprovechó de los servicios legítimos de correo electrónico de la empresa Constant Contact, enviando correos de las cuentas de USAID. Constant Contact es un servicio utilizado para marketing por correo electrónico.
En este ataque se estima que 3000 cuentas de correo electrónico fueron objetivo en más de 150 organizaciones diferentes como agencias gubernamentales y no gubernamentales, parte de los ataques se concentraron en los Estados Unidos, pero también se observó en al menos 24 países los ataques.
En la primera etapa de la campaña que fue identificada en enero 2021, Microsoft indica en su informe que el actor de amenaza aparentemente estaba realizando un reconocimiento, ya que solo se encontraba registrado los objetivos que hicieron clic en el enlace del correo electrónico, utilizando los servicios de Google Firebase.
Al menos una cuarta parte de las organizaciones objetivas se encontraban involucradas en el trabajo internacional de desarrollo, humanitario y de derechos humanos.
Los correos electrónicos incluían un enlace que, al hacer clic, insertaba un archivo malicioso utilizado para distribuir una puerta trasera que llamada NativeZone. Esta puerta trasera podría permitir una amplia gama de actividades, desde robar datos hasta infectar otras computadoras en una red.
Las campañas evolucionaban al pasar el tiempo buscando nuevas formas de comprometer los objetivo, en mayo los atacantes utilizaron métodos como archivos HTML, archivos ISO y archivos .NET que reportaban datos de reconocimiento y descargaba archivos maliciosos desde la plataforma de almacenamiento en la nube Dropbox.
La firma de ciberseguridad Volexity, también rastreó la campaña de correo electrónicos maliciosos, en su publicación describe los métodos que utilizo y la relación que tiene con el actor de amenaza ATP29.
En respuesta de este ataque la agencia de Ciberseguridad y Seguridad de la Infraestructura (CISA) y el FBI han publicado un aviso conjunto de seguridad cibernética
