Alertas de seguridad

Notificación de nuevas amenazas detectadas a nivel global, bien sea por entidades independientes, fabricantes, gremios, o investigación propia CSIRT.

Campaña de spearphishing por parte del grupo Nobelium

  • Publicado: 29/05/2021
  • Importancia: Media

Recursos afectados

En el monitoreo a fuentes abiertas de información, el equipo del Csirt Financiero ha identificado una campaña de spearphishing realizada por el grupo de amenaza Nobelium desde enero de 2021. Este grupo es conocido por ser el responsable del ciberataque a la cadena de suministro de SolarWinds a finales de 2020 y dentro de sus objetivos se encuentran organizaciones de sectores como el gubernamental, militar, entidades públicas y privadas, proveedores de servicios de TI, de salud y comunicaciones.

Descripcion

Nobelium aprovecha el servicio Constant Contact para enviar mensajes de correo electrónico fraudulentos que contienen un archivo HTML adjunto con código JavaScript que, al ejecutarse, crea un archivo ISO en el disco y se monta como unidad externa o de red. Luego un archivo LNK ejecuta una DLL que inicia la ejecución de la herramienta Cobalt Strike en el equipo afectado.

Este es un breve resumen realizado por el equipo del Csirt Financiero, para conocer el análisis, correlación, estrategias de mitigación y seguimiento a la alerta, afíliese al Csirt Financiero Asobancaria y contáctenos [email protected].

Etiquetas