La multinazionale americana della tecnologia Microsoft afferma che il gruppo di minacce dietro l’hack di Microsoft e SolarWinds ha lanciato una nuova massiccia campagna di phishing contro agenzie governative, ONG e gruppi di esperti.
L’anno scorso, un gruppo di minacce persistenti avanzate (APT) ha sfruttato le vulnerabilità nei programmi Microsoft e SolarWinds per eseguire un attacco alla catena di approvvigionamento che ha trojanizzato gli aggiornamenti del software aziendale Orion di SolarWinds per distribuire malware. Nove agenzie federali statunitensi e oltre 100 aziende sono state prese di mira.
Secondo Microsoft, il gruppo APT con sede in Russia Nobelium non era solo dietro quell’attacco, ma ora sta conducendo una campagna di phishing che ha già preso di mira migliaia di account di posta elettronica in tutto il mondo.
“Questa settimana abbiamo osservato attacchi informatici da parte dell’attore di minacce Nobelium contro agenzie governative, think tank, consulenti e organizzazioni non governative”, ha scritto il vicepresidente della sicurezza e della fiducia dei clienti di Microsoft, Tom Burt, in un post sul blog pubblicato giovedì.
“Questa ondata di attacchi ha preso di mira circa 3.000 account di posta elettronica in più di 150 organizzazioni diverse”.
Burt ha affermato che le organizzazioni in almeno 24 paesi diversi sono state colpite, con la maggior parte delle vittime negli Stati Uniti.
Almeno una su quattro delle organizzazioni prese di mira è coinvolta in attività di sviluppo internazionale, umanitarie e per i diritti umani.
“Questi attacchi sembrano essere una continuazione dei molteplici sforzi di Nobelium per colpire le agenzie governative coinvolte nella politica estera come parte degli sforzi di raccolta di informazioni”, ha scritto Burt.
Nobelium ha lanciato la campagna di phishing ottenendo l’accesso all’account Constant Contact di USAID.
“Da lì, l’attore è stato in grado di distribuire e-mail di phishing che sembravano autentiche ma includevano un collegamento che, se cliccato, inseriva un file dannoso utilizzato per distribuire una backdoor che chiamiamo NativeZone”, ha scritto Burt.
“Questa backdoor potrebbe consentire un’ampia gamma di attività, dal furto di dati all’infezione di altri computer in rete”.
Il ricercatore di minacce Digital Shadows Stefano De Blasi ha affermato che la presunta attività dannosa di Nobelium esemplifica come le campagne di phishing mirate costituiscano ancora una seria minaccia contro le istituzioni di qualsiasi tipo.
Ha aggiunto: “Questa campagna è l’ultima testimonianza dell’obiettivo di questo gruppo di raccogliere informazioni sensibili e di grande valore dalle organizzazioni occidentali che operano nel campo del governo e degli affari esterni”.