Inicio / Blog / Estudio del análisis de amenazas: Nobelium

Estudio del análisis de amenazas: Nobelium

Publicado el 08/09/2022, por INCIBE
imagen de estudios de amenazas

Añadimos un nuevo estudio a nuestra colección de análisis de amenazas o campañas de malware con afectación en España. En esta ocasión, las técnicas, tácticas y procedimientos (TTP) identificadas, tienen numerosas similitudes con anteriores campañas llevadas a cabo por Nobelium, la denominación de Microsoft para un grupo de atacantes que, según la atribución llevada a cabo por la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) de Estados Unidos, pertenecen al Servicio de Inteligencia Exterior (SRV) de Rusia. Este grupo es conocido principalmente por el ataque a la cadena de suministro de SolarWinds que salió a la luz en 2020 y por una campaña de phishing de 2021, donde se hicieron pasar por una empresa de desarrollo estadounidense.

A través de un análisis estático y dinámico de una muestra de este malware, en un entorno controlado, el estudio recoge información que ayudará a conocer en detalle las herramientas y técnicas que utilizan, así como su funcionamiento, con la intención de facilitar los mecanismos necesarios para la identificación y respuesta ante la amenaza.

Partiendo desde su propagación a través de un correo electrónico, se hace un recorrido por todo el flujo de ejecución de la infección y su análisis, incluyendo los métodos de ofuscación y persistencia en el sistema.

El estudio también incluye una comparativa entre las diferentes campañas maliciosas del grupo Nobelium, donde se repasan las similitudes y diferencias del código analizado con otras muestras de campañas anteriores, en base a la información pública disponible.

Por último, también encontrarás los indicadores de compromiso (IOC) asociados a Nobelium y la regla Yara de detección de muestras maliciosas de este malware.

El estudio completo se puede descargar a continuación: