Campaña de spearphishing por parte del grupo Nobelium
- Publicado: 29/05/2021
- Importancia: Media
- Recursos afectados
En el monitoreo a fuentes abiertas de información, el equipo del Csirt Financiero ha identificado una campaña de spearphishing realizada por el grupo de amenaza Nobelium desde enero de 2021. Este grupo es conocido por ser el responsable del ciberataque a la cadena de suministro de SolarWinds a finales de 2020 y dentro de sus objetivos se encuentran organizaciones de sectores como el gubernamental, militar, entidades públicas y privadas, proveedores de servicios de TI, de salud y comunicaciones.
- Descripcion
Nobelium aprovecha el servicio Constant Contact para enviar mensajes de correo electrónico fraudulentos que contienen un archivo HTML adjunto con código JavaScript que, al ejecutarse, crea un archivo ISO en el disco y se monta como unidad externa o de red. Luego un archivo LNK ejecuta una DLL que inicia la ejecución de la herramienta Cobalt Strike en el equipo afectado.
Este es un breve resumen realizado por el equipo del Csirt Financiero, para conocer el análisis, correlación, estrategias de mitigación y seguimiento a la alerta, afíliese al Csirt Financiero Asobancaria y contáctenos [email protected].
- Etiquetas