노벨륨 아파트

Novelium APT는 작년에 이전에 알려지지 않은 해커 그룹이 소프트웨어 개발자 SolarWinds에 대한 대규모 공급망 공격을 수행하면서 사이버 스파이 분야의 주요 플레이어가 되었습니다. 당시 마이크로소프트는 해커 집단에 솔라게이트라는 이름을 할당했지만 나중에는 노벨리움으로 이름을 바꿨다. 사이버 보안 회사인 FireEye는 UNC2542로 지정된 그룹의 활동을 추적합니다.

솔라 윈즈 공격

 SolarWinds에 대한 해킹은 Nobelium이 공급망 공격을 조정하는 데 도움이 되는 4가지 다른 맬웨어 변종을 배포하는 것을 보았습니다. 첫째, 해커 는 SolarWinds 네트워크 침해가 발생한 직후 빌드 서버에 Sunspot 멀웨어를 떨어뜨렸습니다. 멀웨어 변종은 단일 목적으로 설계되었습니다. 즉, SolarWinds의 주요 제품 중 하나인 IT 리소스 모니터링 플랫폼 Orion을 조립하는 빌드 명령을 탐지할 때까지 빌드 서버에서 대기하는 것입니다. 당시 33,000명 이상의 고객이 Orion을 사용하고 있었습니다. Sunspot이 활성화할 적절한 상황을 식별하면 특정 소스 코드 파일을 다음 단계 페이로드 로드를 담당하는 손상된 파일인 Sunburst 악성코드로 은밀하게 대체합니다. 그 결과, 현재 트로이 목마 버전의 Orion 이 회사의 클라이언트에게 배포되었으며 실행 시 내부 네트워크를 감염시켰습니다.

 Sunburst는 손상된 조직의 시스템에서 데이터를 수집한 다음 해커에게 다시 전달하는 정찰 도구 역할을 했습니다. 수집된 정보는 노벨리움에서 특정 피해자가 공격을 더 확대할 만큼 중요한지 여부를 결정하는 데 사용되었습니다. 위험을 감수할 가치가 있는 것으로 간주된 사람들은 보다 강력한 Teardrop 백도어를 배포하는 공격의 마지막 단계를 거쳤습니다. Teardrop의 전달과 동시에 Sunburst는 손상된 시스템에서 공격자의 발자국을 줄이기 위해 자신을 삭제하라는 지시를 받았습니다. 선택된 소수의 피해자에게 해커는 Teardrop을 기능적으로 미러링하지만 기본 코드가 크게 다른 맬웨어 변종을 전달했습니다. Raindrop 이라고 하는 이 악성코드 위협은 이전 단계의 Sunburst 악성코드에 의해 직접 삭제된 Teardrop과 달리 진입점을 결정할 수 없었기 때문에 연구원을 당황하게 했습니다. 골드맥스

 연구원들이 새로운 노벨륨 관련 악성코드 변종 발견

 아직 그룹을 모니터링하고 있는 Microsoft와 FireEye 보안 회사에 의해 밝혀진 바와 같이 Nobelium 해커들은 활동을 늦추지 않고 있습니다. 연구원들은 사이버 범죄자들의 무기고에 추가된 몇 가지 새로운 맞춤형 멀웨어 변종을 목격했습니다. 여기에는 다음이 포함됩니다. 

• GoldMax /Sunshuttle Malware - 정교한 백도어 위협. 주요 기능은 Google.com, Facebook.com, Yahoo.com 및 Bing.com을 포함하는 합법적인 웹사이트 URL 목록에서 참조자를 선택하여 C2 서버와의 통신으로 인해 발생하는 트래픽을 혼합하는 기능입니다.
•  Sibot Malware - 지속성을 달성한 다음 C2 서버에서 다음 단계 페이로드를 가져와 실행하는 2단계 드로퍼입니다. 위협적인 VBScript 파일은 합법적인 Windows 작업과 유사한 이름을 가정한 다음 레지스트리 또는 침해된 시스템의 디스크에 난독화된 형식으로 저장됩니다.
•  GoldFinder Malware - HTTP 추적 도구 역할을 하는 고도로 전문화된 맬웨어 변종입니다. 위협 요소는 패킷이 C2 서버로 이동하는 정확한 경로를 매핑합니다. 그런 다음 GoldFinder는 HTTP 프록시 서버 또는 손상된 조직에서 배포한 네트워크 보안 장치로 인한 기타 리디렉션에 대해 노벨리움 해커에게 경고할 수 있습니다.

 노벨리움은 위협적인 목표를 더 잘 달성하는 데 도움이 되는 더 많은 맞춤형 도구를 계속해서 출시하고 있습니다. 해커는 이미 18,000명 이상의 SolarWinds 고객을 손상시키는 데 성공했습니다. 희생자 중에는 저명한 기술 회사와 미국 정부 기관이 있습니다.