Nobelium è una crew di hacker black hat nota per un attacco che alla fine dello scorso anno venne scagliato contro la piattaforma per il network management Orion di SolarWinds, sospetto di vicinanza con le autorità russe (o delle sue componenti più deviate) il gruppo sarebbe riuscito a spiare un gran numero di aziende e istituzioni statunitensi attraverso una backdoor.
Ora il suo nome sembrerebbe tornato agli onori della cronaca per via di una nuova azione malevola scoperta il 25 maggio 2021 che, sfruttando la più classica delle tecniche di phishing, avrebbe determinato l’invio di un gran numero di messaggi di posta elettronica a nome delle newsletter gestita dall’USAID (US Agency for International Development).
Come sottolineato dagli esperti di sicurezza della Casa di Redmond, sia Microsoft Defender che Microsoft Defender for Endpoint sarebbero in grado di intercettare i malware celati all’interno delle email recapitate da Nobelium. La situazione continuerà in ogni caso ad essere monitorata nelle prossime ore in considerazione del fatto che l’obbiettivo sarebbero soprattutto degli enti governativi USA.
Il meccanismo attraverso il quale gli attaccanti tentano di infettare i terminali dei mittenti è abbastanza articolato. L’attacco si basa innanzitutto sul tool EnvyScout che nasconde in un allegato l’eseguibile BOOM.exe attivabile tramite l’apposito collegamento inserito in un’immagine ISO. Un eventuale click sul link porterebbe a lanciare il gestore di download BoomBox che scaricherebbe a sua volta due file cifrati.
Di questi ultimi il più insidioso è NativeZone, una backdoor in grado di scaricare il downloader VaporRage che ha il compito di contattare un server remoto e scaricare attraverso di esso alcuni malware. Fatto questo inizierebbe la fase vera e propria di sottrazione dei dati che, stando ai primi sospetti, finirebbero direttamente nelle mani della SVR (Služba Vnešnej Razvedki), il servizio di intelligence internazionale della Confederazione Russa.
