Группировка Nobelium рассылала электронные фишинговые письма от имени Агентства США по международному развитию.
На прошлой неделе Microsoft сообщила , что атаковавшая SolarWinds группировка Nobelium использовала легитимный сервис для массовых рассылок электронной почты Constant Contact для атак на правительственные и другие организации в США и еще десятке стран. ФБР и Агентство кибербезопасности и безопасности инфраструктуры (CISA) США опубликовали совместное сообщение касательно количества организаций, подвергшихся кибератаке через легитимную службу электронного маркетинга. Как выяснили эксперты, число жертв было больше, чем первоначально сообщалось.
Nobelium взломала учетную запись Constant Contact Агентства США по международному развитию (U.S. Agency for International Development, USAID). USAID представляет собой высший федеральный орган государственного управления США в области оказания помощи за рубежом. Электронные фишинговые письма, отправленные от имени USAID, содержали вредоносное ПО.
В общей сложности зараженные письма были отправлены примерно 3 тыс. учетных записей в более чем 150 организациях. Однако, по данным ФБР и CISA, злоумышленники фактически отправили целевые фишинговые письма более чем 7 тыс. учетных записей в 350 организациях, включая правительственные, неправительственные и межправительственные организации.
Специалисты ИБ-фирмы Volexity проанализировали фишинговые электронные письма и обнаружили связь между вредоносной кампанией и киберпреступной группировкой APT29. На связь с группировкой указывает использование архивного формата файла, содержащего LNK, для доставки начальной полезной нагрузки, использование документа-приманки на тему выборов в США якобы от имени правительственной организации, использование CobaltStrike и относительно широкомасштабный характер кампании, когда многие цели одновременно получают один и тот же фишинговый контент.
Собираем и анализируем опыт профессионалов ИБ