Nobelium APT

Nobelium APT Description

Nobelium APT سال گذشته زمانی که گروه هکر ناشناخته قبلی یک حمله گسترده زنجیره تامین را علیه توسعه‌دهنده نرم‌افزار SolarWinds انجام داد، به یک بازیگر اصلی در چشم‌انداز جاسوسی سایبری تبدیل شد. در آن زمان، مایکروسافت نام Solarigate را به مجموعه هکرها اختصاص داد اما بعداً آن را به Nobelium تغییر داد. شرکت امنیت سایبری FireEye فعالیت این گروه را تحت نام UNC2542 ردیابی می کند.

SolarWinds حمله

 در هک SolarWinds، Nobelium چهار نوع بدافزار مختلف را به کار گرفت که به آنها کمک کرد حمله زنجیره تامین را هماهنگ کنند. ابتدا، هکرها بدافزار Sunspot را بلافاصله پس از رخنه شدن شبکه SolarWinds روی یک سرور بیلد رها کردند. نوع بدافزار با یک هدف منحصر به فرد طراحی شده است - منتظر ماندن در سرور ساخت تا زمانی که دستور ساخت را شناسایی کند که یکی از محصولات اصلی SolarWinds - پلت فرم نظارت بر منابع فناوری اطلاعات Orion - را مونتاژ می کند. در آن زمان بیش از 33000 مشتری از Orion استفاده می کردند. وقتی Sunspot شرایط مناسب را برای فعال‌سازی شناسایی می‌کند، به‌طور مخفیانه فایل‌های کد منبع خاصی را با فایل‌های خراب جایگزین می‌کند که مسئول بارگیری مرحله بعدی - بدافزار Sunburst هستند. در نتیجه، نسخه تروجانیزه شده Orion بین مشتریان شرکت توزیع شد که پس از اجرای آن، شبکه های داخلی خود را آلوده کردند.

 Sunburst به عنوان یک ابزار شناسایی عمل می کند که داده ها را از سیستم های سازمان در معرض خطر جمع آوری می کند و سپس آن را به هکرها باز می گرداند. اطلاعات جمع‌آوری‌شده سپس توسط نوبلیوم برای تصمیم‌گیری در مورد اینکه آیا قربانی خاص آنقدر مهم است که تشدید بیشتر حمله را تضمین کند، استفاده شد. آنهایی که ارزش ریسک را داشتند، در معرض مرحله نهایی حمله قرار گرفتند که شامل استقرار در پشتی قدرتمندتر Teardrop بود. همزمان با تحویل Teardrop، به Sunburst دستور داده شد که خود را حذف کند تا رد پای مهاجم بر روی سیستم در معرض خطر کاهش یابد. بر روی تعدادی از قربانیان منتخب، هکرها یک نوع بدافزار ارائه کردند که از نظر عملکردی Teardrop را منعکس می‌کرد، اما در کد اصلی آن تفاوت زیادی داشت. این تهدید بدافزار که Raindrop نام داشت ، محققان را گیج کرد زیرا نتوانستند نقطه ورود آن را تعیین کنند، برخلاف Teardrop که مستقیماً توسط بدافزار Sunburst در مرحله قبلی رها شد. گلد مکس

 محققان انواع بدافزارهای جدید مرتبط با نوبلیوم را کشف کردند

 همانطور که مایکروسافت و شرکت امنیتی FireEye که هنوز گروه را زیر نظر دارند، فاش شده است هکرهای نوبلیوم از سرعت فعالیت خود کم نمی کنند. محققان شاهد چندین نوع بدافزار سفارشی جدید بوده اند که به زرادخانه مجرمان سایبری اضافه شده است. این شامل: 

  • بدافزار GoldMax / Sunshuttle - یک تهدید پیچیده در پشتی. ویژگی اصلی آن امکان ترکیب ترافیک ناشی از ارتباط آن با سرورهای C2 با انتخاب ارجاع دهنده ها از لیست URL های وب سایت قانونی است که شامل مواردی مانند Google.com، Facebook.com، Yahoo.com و Bing.com است.
  •  بدافزار Sibot - یک قطره چکان مرحله دوم که وظیفه دارد به پایداری دست یابد و سپس بارگذاری مرحله بعدی را از سرورهای C2 دریافت و اجرا کند. فایل تهدید آمیز VBScript نامی شبیه به یک وظیفه قانونی ویندوز دارد و سپس در رجیستری یا در قالبی مبهم در دیسک سیستم نقض شده ذخیره می شود.
  •  بدافزار GoldFinder - سویه بدافزار بسیار تخصصی که به عنوان ابزار ردیاب HTTP عمل می کند. این تهدید مسیر دقیقی را که بسته ها در مسیر خود به سمت سرورهای C2 طی می کنند، ترسیم می کند. پس از آن GoldFinder می تواند هکرهای Nobelium را از هر سرور پروکسی HTTP یا سایر تغییر مسیرهای ناشی از دستگاه های امنیتی شبکه مستقر شده توسط سازمان در معرض خطر آگاه کند.

 نوبلیوم به راه‌اندازی ابزارهای سفارشی بیشتری ادامه می‌دهد که به آنها کمک می‌کند تا به اهداف تهدیدکننده‌شان دست یابند. هکرها قبلاً موفق شده بودند بیش از 18000 مشتری SolarWinds را به خطر بیاندازند. در میان قربانیان شرکت‌های برجسته فناوری و سازمان‌های دولتی ایالات متحده بودند.