Nobelium APT

Nobelium APT Description

APT Nobelium menjadi pemain utama dalam landskap pengintipan siber tahun lepas apabila kumpulan penggodam yang sebelum ini tidak dikenali melakukan serangan rantaian bekalan besar-besaran terhadap pembangun perisian SolarWinds. Pada masa itu, Microsoft memberikan nama Solarigate kepada kolektif penggodam tetapi kemudian menukarnya kepada Nobelium. Syarikat keselamatan siber FireEye menjejaki aktiviti kumpulan di bawah penamaan UNC2542.

The SolarWinds Attack

 Penggodaman terhadap SolarWinds, menyaksikan Nobelium menggunakan empat jenis perisian hasad berbeza yang membantu mereka mengatur serangan rantaian bekalan. Mula-mula, penggodam menggugurkan perisian hasad Sunspot pada pelayan binaan sebaik sahaja pelanggaran rangkaian SolarWinds berlaku. Ketegangan perisian hasad direka bentuk dengan tujuan tunggal - untuk menunggu pada pelayan binaan sehingga ia mengesan arahan binaan yang memasang salah satu produk utama SolarWinds - platform pemantauan sumber IT Orion. Pada masa itu lebih 33,000 pelanggan menggunakan Orion. Apabila Sunspot mengenal pasti keadaan yang sesuai untuk diaktifkan, ia secara senyap-senyap akan menggantikan fail kod sumber tertentu dengan yang rosak yang bertanggungjawab untuk memuatkan muatan peringkat seterusnya - perisian hasad Sunburst. Akibatnya, versi Orion yang kini telah ditrojan telah diedarkan kepada pelanggan syarikat yang kemudiannya menjangkiti rangkaian dalaman mereka apabila melaksanakannya.

 Sunburst bertindak sebagai alat peninjau yang mengumpul data daripada sistem organisasi yang terjejas dan kemudian menyampaikannya kembali kepada penggodam. Maklumat yang dikumpul kemudiannya digunakan oleh Nobelium untuk memutuskan sama ada mangsa tertentu itu cukup penting untuk menjamin peningkatan serangan selanjutnya. Mereka yang dianggap berbaloi dengan risiko tertakluk kepada fasa terakhir serangan yang terdiri daripada menggunakan pintu belakang Titisan Air Mata yang lebih berkuasa. Serentak dengan penghantaran Titisan Air Mata, Sunburst telah diarahkan untuk memadamkan dirinya untuk mengurangkan jejak penyerang pada sistem yang terjejas. Pada beberapa mangsa yang terpilih, penggodam menyampaikan ketegangan perisian hasad yang mencerminkan Teardrop secara berfungsi tetapi berbeza dalam kod asasnya secara drastik. Dipanggil Raindrop , ancaman perisian hasad ini membingungkan penyelidik kerana mereka tidak dapat menentukan titik masuknya, tidak seperti Titisan Air Mata yang digugurkan terus oleh perisian hasad Sunburst peringkat sebelumnya. GoldMax

 Penyelidik Mendedahkan Strain Malware Berkaitan Nobelium Baharu

 Penggodam Nobelium tidak memperlahankan aktiviti mereka, seperti yang didedahkan oleh Microsoft dan syarikat keselamatan FireEye yang masih memantau kumpulan itu. Para penyelidik telah menyaksikan beberapa jenis perisian hasad binaan tersuai baharu yang telah ditambahkan pada senjata penjenayah siber. Ini termasuk: 

  • GoldMax /Sunshuttle Malware - ancaman pintu belakang yang canggih. Ciri utamanya ialah keupayaan untuk menggabungkan trafik yang disebabkan oleh komunikasinya dengan pelayan C2 dengan memilih perujuk daripada senarai URL tapak web yang sah yang termasuk seperti Google.com, Facebook.com, Yahoo.com dan Bing.com.
  •  Sibot Malware - penitis peringkat kedua yang ditugaskan untuk mencapai kegigihan dan kemudian mengambil dan melaksanakan muatan peringkat seterusnya daripada pelayan C2. Fail VBScript yang mengancam menggunakan nama yang serupa dengan tugas Windows yang sah dan kemudian disimpan sama ada dalam Registry atau dalam format yang dikelirukan pada cakera sistem yang dilanggar.
  •  The GoldFinder Malware - strain malware yang sangat khusus yang bertindak sebagai alat pengesan HTTP. Ancaman memetakan laluan tepat yang dibawa oleh paket ke pelayan C2. GoldFinder kemudiannya boleh memaklumkan penggodam Nobelium tentang mana-mana pelayan proksi HTTP atau ubah hala lain yang disebabkan oleh peranti keselamatan rangkaian yang digunakan oleh organisasi yang terjejas.

 Nobelium terus mengeluarkan lebih banyak alatan yang dibuat khusus yang membantu mereka mencapai matlamat yang mengancam mereka dengan lebih baik. Penggodam telah berjaya menjejaskan lebih 18,000 pelanggan SolarWinds. Antara mangsa adalah syarikat teknologi terkemuka dan agensi kerajaan AS.