Estudio del análisis de amenazas: Nobelium
Añadimos un nuevo estudio a nuestra colección de análisis de amenazas o campañas de malware con afectación en España. En esta ocasión, las técnicas, tácticas y procedimientos (TTP) identificadas, tienen numerosas similitudes con anteriores campañas llevadas a cabo por Nobelium, la denominación de Microsoft para un grupo de atacantes que, según la atribución llevada a cabo por la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) de Estados Unidos, pertenecen al Servicio de Inteligencia Exterior (SRV) de Rusia. Este grupo es conocido principalmente por el ataque a la cadena de suministro de SolarWinds que salió a la luz en 2020 y por una campaña de phishing de 2021, donde se hicieron pasar por una empresa de desarrollo estadounidense.
A través de un análisis estático y dinámico de una muestra de este malware, en un entorno controlado, el estudio recoge información que ayudará a conocer en detalle las herramientas y técnicas que utilizan, así como su funcionamiento, con la intención de facilitar los mecanismos necesarios para la identificación y respuesta ante la amenaza.
Partiendo desde su propagación a través de un correo electrónico, se hace un recorrido por todo el flujo de ejecución de la infección y su análisis, incluyendo los métodos de ofuscación y persistencia en el sistema.
El estudio también incluye una comparativa entre las diferentes campañas maliciosas del grupo Nobelium, donde se repasan las similitudes y diferencias del código analizado con otras muestras de campañas anteriores, en base a la información pública disponible.
Por último, también encontrarás los indicadores de compromiso (IOC) asociados a Nobelium y la regla Yara de detección de muestras maliciosas de este malware.
El estudio completo se puede descargar a continuación:
