Nobelium es el nombre del grupo de hackers rusos que atacó SolarWinds el año pasado y parece que nuevamente han vuelto a las andadas.

De acuerdo a Tom Burt, Vice Presidente Corporativo de Confianza y Seguridad del Cliente en Microsoft, esta semana Microsoft Threat Intelligence Center (MSTIC) detectó ciberataques Nobelium contra agencias gubernamentales, grupos de expertos, consultores y organizaciones no gubernamentales.

Burt señala que esta ola de ataques tuvo como objetivo alrededor de 3,000 cuentas de correo electrónico en más de 150 organizaciones diferentes de 24 países, aunque la mayoría son de Estados Unidos.  Además al menos una cuarta parte de las organizaciones seleccionadas estaban involucradas en el trabajo internacional de desarrollo humanitario y de derechos humanos.

Todo parece indicar que estos ataques serían un una continuación del grupo de cibercriminales con el objetivo de penetrar la seguridad de las agencias gubernamentales involucradas en la política exterior como parte de los esfuerzos de recopilación de inteligencia.

Microsoft Threat Intelligence Center (MSTIC) has uncovered a wide-scale malicious email campaign operated by NOBELIUM, the threat actor behind the attacks against SolarWinds, the SUNBURST backdoor, TEARDROP, GoldMax, and other related components. https://t.co/cBxn9dGozL

— Microsoft Threat Intelligence (@MsftSecIntel) May 28, 2021

Luego de obtener acceso a Constant Contact de USAID, servicio utilizado para marketing por correo electrónico, Nobelium comenzó a distribuir correos electrónicos de phishing que parecían auténticos pero que incluían un enlace para que quien recibía el mensaje hiciera clic y así, sin el conocimiento de la persona, se instalara un archivo malicioso utilizado para distribuir el troyano NativeZone.

Este Troyano permite que los cibercriminales puedan realizar una amplia gama de actividades en el ordenador hackeado.  Entre esas actividades existe la posibilidad de robar datos e infectar otras computadoras en una red, por nombrar solo algunas de las actividades que pueden realizar.

Burt señala que varios de esos ataques a clientes de Microsoft fueron bloqueados automáticamente y además Windows Defender, la suite de seguridad que viene en Windows 10, está bloqueando el troyano NativeZone.

Si quieren interiorizarse más sobre los aspectos técnicos de estos ataques pueden leer un artículo al respecto del Centro de inteligencia de amenazas de Microsoft (MSTIC).