Nobelium está de regreso. Microsoft Threat Intelligence Center (MSTIC) ha detectado actividad del grupo ruso, responsable del ciberataque SolarWinds del año pasado.
NOBELIUM es un nombre más de APT29 (hackers rusos) operado por un actor de amenazas supuestamente vinculado al SVR (el Servicio de Inteligencia Exterior de la Federación Rusa).
NOBELIUM se ha centrado en organizaciones gubernamentales, organizaciones no gubernamentales, grupos de expertos, militares, proveedores de servicios de TI, tecnología e investigación de la salud y proveedores de telecomunicaciones. Este grupo no se destaca por sus campañas de phishing sofisticadas, mas bien es conocido por las capacidades que tiene una vez que ha hecho la intrusión en la red de sus víctimas.
En las últimas investigaciones se sugiere que este grupo está vinculado a TURLA, un ciber actor con sede en Rusia y que ha afectado gobiernos y a la industria en más de 45 países.
La infraestructura habilitada por NOBELIUM lleva más de un año en donde se aprecian diversos indicadores de compromiso los cuales deben ser considerados para agregar a las soluciones de seguridad.
A continuación la infraestructura:
Dominios
crochetnews[.]com
dom-news[.]com
readnewshot[.]com
pharaosjournal[.]com
bfilmnews[.]com
theanalyticsnews[.]com
galatinonews[.]com
midcitylanews[.]com
muslimnewsdaily[.]com
Direcciones IP
31.42.177[.]78
158.255.211[.]40
45.14.70[.]186
46.102.152[.]118
139.99.178[.]56
95.183.51[.]161
195.144.21[.]159
103.232.53[.]230
194.62.42[.]109
Comments