CISA și FBI avertizează cu privire la o nouă campanie de spearphishing care vizează organizațiile guvernamentale și ONG-urile

Agenția pentru Securitate Cibernetică și Infrastructură de Securitate (CISA) și FBI au anunțat că o campanie de spearphishing care vizează organizațiile guvernamentale, organizațiile interguvernamentale (OIG-urile) și organizațiile nonguvernamentale (ONG-urile) este activă în prezent, afectând sute de entități diferite.

Cu toate că agențiile din SUA au declarat că nu au asociat această campanie de spearphishing vreunei entități, cel puțin deocamdată, alți cercetători din domeniul securității au numit deja gruparea responsabilă pentru atacuri, Nobelium (Cozy Bear). Este aceeași grupare care se află în spatele atacului SolarWinds, unul dintre cele mai importante incidente de securitate din toate timpurile.

„O entitate care folosește amenințări cibernetice sofisticate a profitat de contul compromis al unui utilizator final din Constant Contact, o companie legitimă de software pentru email marketing, pentru a se infiltra într-o organizație guvernamentală din SUA și a distribui link-uri către URL-uri periculoase”, au declarat agențiile în anunțul oficial.

„O entitate care folosește amenințări cibernetice a profitat de contul compromis al unui utilizator final din Constant Contact, o companie legitimă de software pentru email marketing, pentru a trimite email-uri de phishing către peste 7000 de conturi din 350 de organizații guvernamentale, OIG-uri și ONG-uri”, au mai declarat agențiile. „Entitatea a trimis email-uri false care păreau să fie trimise de o organizație din cadrul guvernului SUA.”

Email-ul conținea un URL care direcționa utilizatorul către o pagină periculoasă unde se regăsea un fișier ISO infectat. Fișierul ISO conținea un DLL (un implant personalizat Cobalt Strike Beacon, versiunea 4), un fișier periculos de comandă rapidă, care executa loader-ul Cobalt Strike Beacon, și un fișier PDF cu titlul „Amenințările externe în timpul alegerilor federale din SUA din 2020”, fișierul numindu-se „ICA-declass.pdf.” Fișierul PDF este de fapt o copie a Analizei comunității de informații în temeiul Ordinului executiv 13848, disponibilă online din surse oficiale.

Cobalt Strike este un instrument comercial de verificare a penetrării, însă poate fi utilizat și de hackeri. Nu este clar cât de mult succes a avut campania înainte să fie oprită, însă CISA și FBI au publicat indicatorii de compromitere.