Nobelium APT

Nobelium APT blev en vigtig aktør i cyberspionage-landskabet sidste år, da den tidligere ukendte hackergruppe gennemførte et massivt angreb på forsyningskæden mod softwareudvikleren SolarWinds. På det tidspunkt tildelte Microsoft navnet Solarigate til hakkekollektivet, men ændrede det senere til Nobelium. Cybersikkerhedsfirmaet FireEye sporer gruppens aktivitet under betegnelsen UNC2542.

Den SolarWinds Attack

 Hacket mod SolarWinds så Nobelium implementere fire forskellige malware-stammer, der hjalp dem med at orkestrere forsyningskædeanfaldet. For det første droppede hackerne Sunspot- malware på en build-server umiddelbart efter bruddet på SolarWinds 'netværk opstod. Malwarestammen blev designet med et entydigt formål - at vente på build-serveren, indtil den registrerer en build-kommando, der samlede et af SolarWinds 'hovedprodukter - it-ressourcemonitoreringsplatformen Orion. På det tidspunkt brugte over 33.000 kunder Orion. Når Sunspot identificerer de rigtige omstændigheder til at aktivere, ville det skjult erstatte visse kildekodefiler med beskadigede filer, der var ansvarlige for at indlæse nyttetrinnet i næste trin - Sunburst- malware. Som et resultat blev den nu trojaniserede version af Orion distribueret til virksomhedens kunder, der derefter inficerede deres interne netværk efter udførelsen.

 Sunburst fungerede som et rekognoseringsværktøj, der indsamlede data fra systemerne i den kompromitterede organisation og derefter sendte dem tilbage til hackerne. De indsamlede oplysninger blev derefter brugt af Nobelium til at afgøre, om det specifikke offer var vigtigt nok til at berettige til yderligere optrapning af angrebet. Dem, der blev anset for at være risikoen værd, blev udsat for den sidste fase af angrebet, som bestod i at indsætte den mere magtfulde Teardrop bagdør. Samtidig med leveringen af Teardrop blev Sunburst instrueret i at slette sig selv for at reducere angriberens fodaftryk på det kompromitterede system. På nogle få udvalgte ofre leverede hackerne en malware-stamme, der afspejlede Teardrop funktionelt, men adskilte sig drastisk i den underliggende kode. Kaldet Raindrop forvirrede denne malware-trussel forskerne, da de ikke kunne bestemme dens indgangssted, i modsætning til Teardrop, som blev droppet direkte af Sunburst-malware fra det forrige trin. GoldMax

 Forskere afdækker nye Nobel-relaterede malware-stammer

 Nobelium-hackerne bremser ikke deres aktiviteter, hvilket afsløres af Microsoft og FireEye-sikkerhedsselskabet, der stadig overvåger gruppen. Forskerne har været vidne til adskillige nye specialbyggede malware-stammer, der er føjet til arsenal af cyberkriminelle. Disse inkluderer: 

• GoldMax / Sunshuttle Malware - en sofistikeret bagdørstrussel. Dets vigtigste funktion er evnen til at blande trafikken forårsaget af dens kommunikation med C2-serverne ved at vælge henvisere fra en liste over legitime webadresser, der inkluderer Google.com, Facebook.com, Yahoo.com og Bing.com.
•  Sibot Malware - en anden-trins dropper, der har til opgave at opnå vedholdenhed og derefter hente og udføre næste-trins nyttelast fra C2-serverne. Dens truende VBScript-fil antager et navn svarende til en legitim Windows-opgave og gemmes derefter i enten registreringsdatabasen eller i et tilsløret format på disken i det brudte system.
•  GoldFinder Malware - højt specialiseret malware-stamme, der fungerer som et HTTP-sporingsværktøj. Truslen kortlægger den nøjagtige rute, som pakker tager på vej til C2-serverne. GoldFinder kan derefter advare Nobelium-hackerne om alle HTTP-proxyservere eller andre omdirigeringer forårsaget af netværkssikkerhedsenheder, der er implementeret af den kompromitterede organisation.

 Nobelium fortsætter med at frigøre flere specialfremstillede værktøjer, der hjælper dem med bedre at nå deres truende mål. Hackerne formåede allerede at gå på kompromis med over 18.000 af SolarWinds kunder. Blandt ofrene var fremtrædende teknologivirksomheder og amerikanske regeringsorganer.