نوبليوم APT

نوبليوم APT الوصف

أصبحت Nobelium APT لاعبًا رئيسيًا في مشهد التجسس الإلكتروني العام الماضي عندما نفذت مجموعة قراصنة غير معروفة سابقًا هجومًا هائلًا على سلسلة التوريد ضد مطور البرامج SolarWinds. في ذلك الوقت ، قامت Microsoft بتعيين اسم Solarigate إلى مجموعة المتسللين ولكنها غيرته لاحقًا إلى Nobelium. تتعقب شركة FireEye للأمن السيبراني نشاط المجموعة بموجب UNC2542.

وسولارويندز هجوم

 أدى الاختراق ضد SolarWinds إلى قيام Nobelium بنشر أربعة سلالات مختلفة من البرامج الضارة التي ساعدتهم في تنظيم هجوم سلسلة التوريد. أولاً ، أسقط المتسللون برنامج Sunspot الضار على خادم بناء فور حدوث اختراق لشبكة SolarWinds. تم تصميم سلالة البرامج الضارة لغرض واحد - الانتظار على خادم الإنشاء حتى يكتشف أمر بناء قام بتجميع أحد منتجات SolarWinds الرئيسية - منصة مراقبة موارد تكنولوجيا المعلومات Orion. في ذلك الوقت ، كان أكثر من 33000 عميل يستخدمون Orion. عندما تحدد Sunspot الظروف المناسبة للتنشيط ، فإنها ستستبدل خلسة بعض ملفات التعليمات البرمجية المصدر بملفات تالفة كانت مسؤولة عن تحميل حمولة المرحلة التالية - برنامج Sunburst الضار. نتيجة لذلك ، تم توزيع نسخة طروادة الآن من Orion على عملاء الشركة الذين قاموا بعد ذلك بإصابة شبكاتهم الداخلية عند تنفيذها.

 عملت Sunburst كأداة استطلاع جمعت البيانات من أنظمة المنظمة المخترقة ثم أعادت نقلها إلى المتسللين. ثم استخدم نوبليوم المعلومات التي تم جمعها لتقرير ما إذا كانت الضحية المحددة مهمة بما يكفي لتبرير مزيد من التصعيد للهجوم. أولئك الذين اعتبروا أنهم يستحقون المخاطرة تعرضوا للمرحلة الأخيرة من الهجوم والتي تضمنت نشر باب خلفي أقوى على شكل دمعة. بالتزامن مع تسليم Teardrop ، تم توجيه Sunburst لحذف نفسه لتقليل أثر المهاجم على النظام المخترق. بالنسبة لعدد قليل من الضحايا ، أرسل المتسللون سلسلة من البرامج الضارة عكست Teardrop وظيفيًا ولكنها اختلفت في الكود الأساسي بشكل كبير. حير تهديد البرامج الضارة هذا ، المسمى Raindrop ، الباحثين لأنهم لم يتمكنوا من تحديد نقطة دخوله ، على عكس Teardrop التي تم إسقاطها مباشرة بواسطة برنامج Sunburst الضار في المرحلة السابقة. جولد ماكس

 باحثون يكشفون عن سلالات برمجيات خبيثة جديدة مرتبطة بنوبليوم

 لا يقوم قراصنة نوبلوم بإبطاء أنشطتهم ، كما كشفت شركة Microsoft وشركة FireEye الأمنية التي لا تزال تراقب المجموعة. شهد الباحثون العديد من سلالات البرامج الضارة الجديدة المخصصة التي تمت إضافتها إلى ترسانة مجرمي الإنترنت. وتشمل هذه: 

  • GoldMax / Sunshuttle Malware - تهديد مستتر متطور. وتتمثل ميزتها الرئيسية في القدرة على مزج حركة المرور الناتجة عن اتصالها بخوادم C2 عن طريق تحديد الإحالات من قائمة عناوين URL المشروعة لمواقع الويب التي تتضمن أمثال Google.com و Facebook.com و Yahoo.com و Bing.com.
  •  Sibot Malware - قطارة من المرحلة الثانية مكلفة بتحقيق الثبات ثم جلب وتنفيذ حمولة المرحلة التالية من خوادم C2. يفترض ملف VBScript الذي يمثل تهديدًا اسمًا مشابهًا لمهمة Windows المشروعة ، ثم يتم تخزينه إما في السجل أو بتنسيق مبهم على قرص النظام الذي تم اختراقه.
  •  برنامج GoldFinder الضار - سلالة برامج ضارة عالية التخصص تعمل كأداة تتبع HTTP. يحدد التهديد المسار الدقيق الذي تسلكه الحزم في طريقها إلى خوادم C2. يمكن لـ GoldFinder بعد ذلك تنبيه قراصنة Nobelium لأي خوادم بروكسي HTTP أو عمليات إعادة توجيه أخرى ناتجة عن أجهزة أمان الشبكة التي تم نشرها بواسطة المؤسسة المخترقة.

 يواصل Nobelium إطلاق المزيد من الأدوات المصممة خصيصًا والتي تساعدهم على تحقيق أهدافهم المهددة بشكل أفضل. تمكن المتسللون بالفعل من اختراق أكثر من 18000 من عملاء SolarWinds. وكان من بين الضحايا شركات تكنولوجيا بارزة ووكالات حكومية أمريكية.