Napadalci SolarWinds znova udarili s phishing kampanjo
Dare Hriberšek
30. maj 2021 ob 14:15:19
Kot so sporočili iz Microsofta, je minuli teden vnovič potekala obsežna phishing kampanja, izvajala pa naj bi jo ruska hekerska skuina Nobellium, znana tudi pod imeni APT29, Cozy Bear in the Dukes, sloveča tudi po lanskih napadih SolarWinds. Tokratni napad je obsegal pošiljanje phishing sporočil na okoli 3000 naslovov v približno 150 podjetjih in drugih organizacijah. Pošta je prihajala z uradnega marketinškega poštnega računa ameriške Agencije za mednarodni razvoj (USAID), nad katerim so si napadalci že prej uspeli zagotoviti nadzor.
Nekatera sporočila so vsebovala povezavo s klikabilnim naslovom, denimo Trump objavil nove dokumente o volilni prevari, po kliku se je uporabnik sprva našel na dejanskem strežniku z imenom Constant Contact service USAID, od koder so ga nato preusmerili na strežnik Nobelliuma, kjer je skupek kode v JavaScriptu prenesel in pognal zlobno kodo in v sistem prenesel ISO datoteko. Ta je vsebovala PDF datoteko, LNK datoteko z imenom Reports in skrito datoteko DLL. Ko je uporabnik kliknil na Reports, se mu je za krinko odprla PDF datoteka, v ozadju pa je DLL namestil backdoor NativeZone, prek katerega so napadalci dobili nadzor nad sistemom. Ta je omogočal praktično vse, od kraje podatkov, do širjenja okužbe na druge računalnike v sistemu.
Preiskovalci so v sporočilih naleteli na štiri nove družine malwara, HTML priponko z imenom EnvyScout za krajo poverilnic Windows računov, modul za prenos oz. downloader BoomBox, zaganjalnik oz. loader NativeZone in modul za prenos in zagon zlobne kode za povezavo s command&control strežnikom VaporRage. Več podrobnosti o napadih in uporabljenih orodjih je Microsoft objavil tukaj.
Iz varnostnega podjetja FireEye pa so sporočili, da je ob napadih pod masko USAID potekalo še nekaj drugih kampanj, ki so uporabljala drugačne vabe, denimo diplomatska sporočila in vabila posameznih veleposlaništev, denimo belgijskega.