El centro de detección de ciberamenazas de Microsoft, Microsoft Threat Intelligence Center, confirma haber descubierto una malintencionada campaña de correo electrónico a gran escala operada por Nobelium, los ciberdelincuentes vinculados a Rusia responsables del ataque de SolarWinds.
Según ha confirmado Tom Burt, vicepresidente corporativo de seguridad y confianza del cliente de Microsoft, el ataque estaría dirigido a agencias gubernamentales, consultores, organizaciones sin ánimo de lucro y grupos de expertos. Se calcula que en total han sido alrededor de 3.000 cuentas de correo electrónicas las que han sido atacadas en 150 organizaciones de 24 países.
Burt en el comunicado publicado en el blog de la compañía asegura que "La campaña, inicialmente observada y rastreada por Microsoft desde enero de 2021, evolucionó a lo largo de una serie de oleadas que demuestran una experimentación significativa. El 25 de mayo de 2021, la campaña se intensificó cuando NOBELIUM aprovechó el servicio legítimo de correo masivo Constant Contact para hacerse pasar por una organización de desarrollo con sede en EE. UU. y distribuir URL maliciosas a una amplia variedad de organizaciones y verticales de la industria".
Nobelium ha usado en este último ataque un patrón establecido de uso de infraestructura y herramientas únicas para cada objetivo, aumentando su capacidad para permanecer sin ser detectados durante un período de tiempo más largo.
Según confirma la tecnológica, los atacantes pudieron comprometer la cuenta de la Agencia estadounidense para el Desarrollo Internacional en Constant Contact, lo que les permitió enviar correos electrónicos de phising de apariencia auténtica. Alguno de los correos electrónicos afirmaban contener un enlace a documentos sobre fraude electoral de Donald Tump. Una vez se clicaba en él, se instalaba una puerta trasera que permite a los atacantes robar datos o infectar otros ordenadores de la misma red.
Crear cuenta