Nobelium APT

Nobelium APT Beskrivelse

Nobelium APT ble en stor aktør i cyberspionasjelandskapet i fjor da den tidligere ukjente hackergruppen gjennomførte et massivt forsyningskjedeangrep mot programvareutvikleren SolarWinds. På den tiden tildelte Microsoft navnet Solarigate til hackerkollektivet, men endret det senere til Nobelium. Nettsikkerhetsselskapet FireEye sporer aktiviteten til gruppen under UNC2542-betegnelsen.

Den Solarwinds angrep

 Hacket mot SolarWinds så Nobelium distribuere fire forskjellige malware-stammer som hjalp dem med å orkestrere forsyningskjedeangrepet. Først droppet hackerne Sunspot malware på en byggeserver umiddelbart etter at bruddet på SolarWinds' nettverk skjedde. Skadevarestammen ble designet med et enestående formål - å vente på byggeserveren til den oppdager en byggekommando som satt sammen et av SolarWinds' hovedprodukter - IT-ressursovervåkingsplattformen Orion. På det tidspunktet brukte over 33 000 kunder Orion. Når Sunspot identifiserer de riktige omstendighetene for å aktiveres, ville det snikende erstatte visse kildekodefiler med korrupte filer som var ansvarlige for å laste inn neste trinns nyttelast - Sunburst- malwaren. Som et resultat ble den nå trojaniserte versjonen av Orion distribuert til selskapets klienter som deretter infiserte deres interne nettverk da de ble utført.

 Sunburst fungerte som et rekognoseringsverktøy som samlet inn data fra systemene til den kompromitterte organisasjonen og deretter videresendte det tilbake til hackerne. Den innsamlede informasjonen ble deretter brukt av Nobelium for å avgjøre om det spesifikke offeret var viktig nok til å rettferdiggjøre ytterligere eskalering av angrepet. De som ble ansett som verdt risikoen ble utsatt for den siste fasen av angrepet som besto av å utplassere den kraftigere Teardrop- bakdøren. Samtidig med leveringen av Teardrop ble Sunburst bedt om å slette seg selv for å redusere angriperens fotavtrykk på det kompromitterte systemet. På noen få utvalgte ofre leverte hackerne en skadelig programvarestamme som speilet Teardrop funksjonelt, men som skilte seg drastisk fra den underliggende koden. Kalt Raindrop , forvirret denne malware-trusselen forskerne da de ikke kunne fastslå inngangspunktet, i motsetning til Teardrop som ble droppet direkte av Sunburst-malwaren i forrige stadium. GoldMax

 Forskere avdekker nye Nobelium-relaterte skadelig programvarestammer

 Nobelium-hackerne bremser ikke aktiviteten, som avslørt av Microsoft og sikkerhetsselskapet FireEye som fortsatt overvåker gruppen. Forskerne har sett flere nye spesialbygde malware-stammer som har blitt lagt til arsenalet av nettkriminelle. Disse inkluderer: 

  • GoldMax /Sunshuttle Malware - en sofistikert bakdørstrussel. Hovedfunksjonen er muligheten til å blande trafikken forårsaket av kommunikasjonen med C2-serverne ved å velge henvisninger fra en liste over legitime nettadresser som inkluderer Google.com, Facebook.com, Yahoo.com og Bing.com.
  •  Sibot Malware - en andre-trinns dropper som har i oppgave å oppnå utholdenhet og deretter hente og utføre neste trinns nyttelast fra C2-serverne. Den truende VBScript-filen antar et navn som ligner på en legitim Windows-oppgave og lagres deretter enten i registeret eller i et skjult format på disken til det ødelagte systemet.
  •  GoldFinder Malware - høyspesialisert skadevarestamme som fungerer som et HTTP-sporingsverktøy. Trusselen kartlegger den nøyaktige ruten som pakker tar på vei til C2-serverne. GoldFinder kan deretter varsle Nobelium-hackerne om alle HTTP-proxy-servere eller andre omdirigeringer forårsaket av nettverkssikkerhetsenheter utplassert av den kompromitterte organisasjonen.

 Nobelium fortsetter å slippe løs flere skreddersydde verktøy som hjelper dem bedre å nå sine truende mål. Hackerne har allerede klart å kompromittere over 18 000 av kundene til SolarWinds. Blant ofrene var fremtredende teknologiselskaper og amerikanske myndigheter.