Nobelium APT
Nobelium APT បានក្លាយជាអ្នកលេងដ៏សំខាន់នៅលើទិដ្ឋភាពចារកម្មតាមអ៊ីនធឺណិតកាលពីឆ្នាំមុន នៅពេលដែលក្រុមហេគឃ័រមិនស្គាល់ពីមុនបានធ្វើការវាយប្រហារខ្សែសង្វាក់ផ្គត់ផ្គង់ដ៏ធំប្រឆាំងនឹងអ្នកបង្កើតកម្មវិធី SolarWinds ។ នៅពេលនោះ Microsoft បានកំណត់ឈ្មោះ Solarigate ទៅជាក្រុម Hacker ប៉ុន្តែក្រោយមកបានប្តូរវាទៅជា Nobelium ។ ក្រុមហ៊ុនសន្តិសុខតាមអ៊ីនធឺណិត FireEye តាមដានសកម្មភាពរបស់ក្រុមក្រោមការចាត់តាំង UNC2542 ។
ការវាយប្រហារនេះបាន SolarWinds
ការ hack ប្រឆាំងនឹង SolarWinds បានឃើញ Nobelium ដាក់ពង្រាយមេរោគមេរោគចំនួនបួនផ្សេងគ្នា ដែលជួយពួកគេរៀបចំការវាយប្រហារតាមបណ្តាញផ្គត់ផ្គង់។ ដំបូងឡើយ ពួក Hacker បានទម្លាក់ មេរោគ Sunspot malware នៅលើ build server ភ្លាមៗ បន្ទាប់ពីមានការរំលោភលើបណ្តាញ SolarWinds ។ មេរោគ malware ត្រូវបានរចនាឡើងក្នុងគោលបំណងឯកវចនៈ ដើម្បីរង់ចាំនៅលើ build server រហូតដល់វារកឃើញពាក្យបញ្ជា build ដែលប្រមូលផ្តុំផលិតផលសំខាន់មួយរបស់ SolarWinds - វេទិកាត្រួតពិនិត្យធនធាន IT Orion ។ នៅពេលនោះអតិថិជនជាង 33,000 នាក់កំពុងប្រើប្រាស់ Orion ។ នៅពេលដែល Sunspot កំណត់កាលៈទេសៈត្រឹមត្រូវក្នុងការធ្វើឱ្យសកម្ម វានឹងបំបាំងកាយជំនួសឯកសារប្រភពកូដមួយចំនួនជាមួយនឹងឯកសារដែលខូចដែលទទួលខុសត្រូវក្នុងការផ្ទុកបន្ទុកដំណាក់កាលបន្ទាប់ - មេរោគ Sunburst ។ ជាលទ្ធផល កំណែ Trojanized នៃ Orion ត្រូវបានចែកចាយទៅកាន់អតិថិជនរបស់ក្រុមហ៊ុន ដែលបន្ទាប់មកបានឆ្លងបណ្តាញខាងក្នុងរបស់ពួកគេនៅពេលប្រតិបត្តិវា។
Sunburst បានដើរតួជាឧបករណ៍ឈ្លបយកការណ៍ដែលប្រមូលទិន្នន័យពីប្រព័ន្ធនៃអង្គការដែលត្រូវបានសម្របសម្រួល ហើយបន្ទាប់មកបញ្ជូនវាត្រឡប់ទៅពួក Hacker វិញ។ ព័ត៌មានដែលប្រមូលបានត្រូវបានប្រើប្រាស់ដោយ Nobelium ដើម្បីសម្រេចថាតើជនរងគ្រោះជាក់លាក់មានសារៈសំខាន់គ្រប់គ្រាន់ដើម្បីធានាឱ្យមានការកើនឡើងបន្ថែមទៀតនៃការវាយប្រហារដែរឬទេ។ អ្នកដែលត្រូវបានគេចាត់ទុកថាមានតម្លៃហានិភ័យត្រូវបានទទួលរងនូវដំណាក់កាលចុងក្រោយនៃការវាយប្រហារដែលរួមមានការដាក់ពង្រាយទ្វារ ខាងក្រោយ ដ៏មានឥទ្ធិពលរបស់ Teardrop ។ ក្នុងពេលដំណាលគ្នាជាមួយនឹងការចែកចាយ Teardrop Sunburst ត្រូវបានណែនាំឱ្យលុបខ្លួនវា ដើម្បីកាត់បន្ថយការវាយលុករបស់អ្នកវាយប្រហារលើប្រព័ន្ធដែលត្រូវបានសម្របសម្រួល។ លើជនរងគ្រោះមួយចំនួន ពួក Hacker បានផ្តល់មេរោគ Malware ដែលឆ្លុះបញ្ចាំងមុខងារ Teardrop ប៉ុន្តែមានភាពខុសគ្នានៅក្នុងកូដមូលដ្ឋានរបស់វាយ៉ាងខ្លាំង។ ហៅថា Raindrop ការគំរាមកំហែងមេរោគនេះបានធ្វើឱ្យអ្នកស្រាវជ្រាវងឿងឆ្ងល់ ដោយសារពួកគេមិនអាចកំណត់ចំណុចចូលរបស់វា មិនដូច Teardrop ដែលត្រូវបានទម្លាក់ដោយផ្ទាល់ដោយមេរោគ Sunburst ដំណាក់កាលមុននោះទេ។ GoldMax
អ្នកស្រាវជ្រាវរកឃើញមេរោគថ្មីទាក់ទងនឹងមេរោគ Nobelium
ក្រុមហេគឃ័រ Nobelium មិនបង្អង់សកម្មភាពរបស់ពួកគេ ដូចដែលបានបង្ហាញដោយ Microsoft និងក្រុមហ៊ុនសន្តិសុខ FireEye ដែលនៅតែតាមដានក្រុម។ ក្រុមអ្នកស្រាវជ្រាវបានឃើញមេរោគដែលបង្កើតដោយខ្លួនឯងថ្មីជាច្រើនដែលត្រូវបានបន្ថែមទៅក្នុងឃ្លាំងអាវុធរបស់ឧក្រិដ្ឋជនតាមអ៊ីនធឺណិត។ ទាំងនេះរួមបញ្ចូលទាំង:
- GoldMax / Sunshuttle Malware - ការគំរាមកំហែងផ្នែកខាងក្រោយដ៏ទំនើប។ លក្ខណៈពិសេសចម្បងរបស់វាគឺសមត្ថភាពក្នុងការបញ្ចូលគ្នានូវចរាចរណ៍ដែលបណ្តាលមកពីការប្រាស្រ័យទាក់ទងរបស់វាជាមួយម៉ាស៊ីនមេ C2 ដោយជ្រើសរើសអ្នកបញ្ជូនពីបញ្ជី URL គេហទំព័រស្របច្បាប់ដែលរួមមានដូចជា Google.com, Facebook.com, Yahoo.com និង Bing.com ។
- Sibot Malware - ឧបករណ៍ទម្លាក់នៅដំណាក់កាលទី 2 ដែលមានភារកិច្ចក្នុងការសម្រេចបាននូវភាពស្ថិតស្ថេរ ហើយបន្ទាប់មកទៅយក និងដំណើរការបន្ទុកដំណាក់កាលបន្ទាប់ពីម៉ាស៊ីនមេ C2 ។ ឯកសារ VBScript ដែលគំរាមកំហែងរបស់វាសន្មតថាឈ្មោះស្រដៀងនឹងកិច្ចការ Windows ស្របច្បាប់ ហើយបន្ទាប់មកត្រូវបានរក្សាទុកក្នុង Registry ឬក្នុងទម្រង់មិនច្បាស់នៅលើថាសនៃប្រព័ន្ធដែលបំពាន។
- មេរោគ GoldFinder Malware - ប្រភេទមេរោគដែលមានឯកទេសខ្ពស់ដែលដើរតួជាឧបករណ៍តាមដាន HTTP ។ ការគំរាមគំហែងបង្ហាញផ្លូវពិតប្រាកដដែលកញ្ចប់ព័ត៌មានធ្វើដំណើរទៅកាន់ម៉ាស៊ីនមេ C2 ។ បន្ទាប់មក GoldFinder អាចជូនដំណឹងដល់ពួក Hacker Nobelium អំពីម៉ាស៊ីនមេប្រូកស៊ី HTTP ណាមួយ ឬការបញ្ជូនបន្តផ្សេងទៀតដែលបង្កឡើងដោយឧបករណ៍សុវត្ថិភាពបណ្តាញដែលដាក់ឱ្យប្រើប្រាស់ដោយអង្គការសម្របសម្រួល។
Nobelium កំពុងបន្តបញ្ចេញឧបករណ៍ដែលផលិតដោយខ្លួនឯងបន្ថែមទៀត ដែលជួយពួកគេឱ្យសម្រេចបាននូវគោលដៅគំរាមកំហែងរបស់ពួកគេ។ ពួក Hacker បានគ្រប់គ្រងរួចហើយដើម្បីសម្របសម្រួលអតិថិជនជាង 18,000 នៃ SolarWinds ។ ក្នុងចំណោមជនរងគ្រោះមានក្រុមហ៊ុនបច្ចេកវិទ្យាល្បីៗ និងភ្នាក់ងាររដ្ឋាភិបាលអាមេរិក។