नोबेलियम एपीटी

नोबेलियम एपीटी गत वर्ष साइबर-जासुसी परिदृश्यमा एक प्रमुख खेलाडी बनेको थियो जब पहिलेको अज्ञात ह्याकर समूहले सफ्टवेयर विकासकर्ता SolarWinds विरुद्ध ठूलो आपूर्ति-श्रृंखला आक्रमण गरे। त्यस समयमा, माइक्रोसफ्टले ह्याकर सामूहिकलाई सोलारिगेट नाम तोकेको थियो तर पछि यसलाई नोबेलियममा परिवर्तन गर्‍यो। साइबरसुरक्षा कम्पनी FireEye ले UNC2542 पदनाम अन्तर्गत समूहको गतिविधि ट्र्याक गर्दछ।

को SolarWinds आक्रमण

 सोलारविन्ड्स विरुद्धको ह्याकले नोबेलियमले चार फरक मालवेयर स्ट्रेनहरू प्रयोग गरेको देख्यो जसले तिनीहरूलाई आपूर्ति-श्रृंखला आक्रमण गर्न मद्दत गर्‍यो। पहिले, ह्याकरहरूले सोलारविन्ड्सको नेटवर्कको उल्लङ्घन भएको तुरुन्तै बिल्ड सर्भरमा सनस्पट मालवेयर छोडे। मालवेयर स्ट्रेन एकल उद्देश्यका साथ डिजाइन गरिएको थियो - बिल्ड सर्भरमा पर्खाइमा राख्नको लागि जबसम्म यसले सोलारविन्ड्सको मुख्य उत्पादनहरू मध्ये एक भेला गरेको बिल्ड कमाण्ड पत्ता लगाउँदछ - IT स्रोतहरू निगरानी प्लेटफर्म ओरियन। त्यतिबेला ३३,००० भन्दा बढी ग्राहकहरूले ओरियन प्रयोग गरिरहेका थिए। जब सनस्पटले सक्रिय गर्नको लागि सही परिस्थितिहरू पहिचान गर्दछ, यसले चुपचाप केही स्रोत कोड फाइलहरूलाई दूषित व्यक्तिहरूसँग बदल्नेछ जुन अर्को चरणको पेलोड लोड गर्न जिम्मेवार थिए - सनबर्स्ट मालवेयर। नतिजाको रूपमा, ओरियनको अहिले ट्रोजनाइज्ड संस्करण कम्पनीका ग्राहकहरूलाई वितरण गरिएको थियो जसले यसलाई कार्यान्वयन गर्दा तिनीहरूको आन्तरिक नेटवर्कहरू संक्रमित गरे।

 सनबर्स्टले एक जासूसी उपकरणको रूपमा काम गर्‍यो जसले सम्झौता गरिएको संगठनको प्रणालीहरूबाट डाटा सङ्कलन गर्‍यो र त्यसपछि ह्याकरहरूलाई फिर्ता पठायो। सङ्कलन गरिएको जानकारी नोबेलियम द्वारा प्रयोग गरिएको थियो कि विशिष्ट पीडितले आक्रमणको थप वृद्धिको वारेन्टी गर्न पर्याप्त महत्त्वपूर्ण थियो कि भनेर निर्णय गर्न। जोखिमको लायक मानिनेहरूलाई आक्रमणको अन्तिम चरणको अधीनमा राखिएको थियो जसमा थप शक्तिशाली टियरड्रप ब्याकडोर तैनाथ गरिएको थियो। टियरड्रपको डेलिभरीको साथसाथै, सनबर्स्टलाई सम्झौता प्रणालीमा आक्रमणकारीको पदचिह्न कम गर्न आफैलाई मेटाउन निर्देशन दिइएको थियो। केही चुनिंदा पीडितहरूमा, ह्याकरहरूले मालवेयर स्ट्रेन डेलिभर गरे जसले टियरड्रपलाई कार्यात्मक रूपमा मिरर गर्यो तर यसको अन्तर्निहित कोडमा एकदमै भिन्न थियो। भनिन्छ पानीको थोपा , यो मालवेयर खतरा शोधकर्ताओं उनि आफ्नो प्रवेश बिन्दु निर्धारण सक्छ रूपमा, टियरड्रप विपरीत अघिल्लो चरण Sunburst मालवेयर प्रत्यक्ष गिरा थियो baffled। गोल्डम्याक्स

 शोधकर्ताहरूले नयाँ नोबेलियम-सम्बन्धित मालवेयर स्ट्रेनहरू पत्ता लगाउँछन्

 माइक्रोसफ्ट र फायरआई सेक्युरिटी कम्पनीले खुलासा गरेअनुसार नोबेलियम ह्याकरहरूले आफ्ना गतिविधिहरूलाई सुस्त बनाएका छैनन् जसले समूहको निगरानी गरिरहेका छन्। अनुसन्धानकर्ताहरूले धेरै नयाँ कस्टम-बिल्ड मालवेयर स्ट्रेनहरू देखेका छन् जुन साइबर अपराधीहरूको शस्त्रागारमा थपिएका छन्। यी समावेश छन्: 

• GoldMax / Sunshuttle Malware - एक परिष्कृत ब्याकडोर खतरा। यसको मुख्य विशेषता भनेको Google.com, Facebook.com, Yahoo.com र Bing.com को मनपर्नेहरू समावेश गर्ने वैध वेबसाइट URL को सूचीबाट रेफररहरू चयन गरेर C2 सर्भरहरूसँग यसको सञ्चारको कारणले गर्दा हुने ट्राफिकलाई मिश्रण गर्ने क्षमता हो।
•  सिबोट मालवेयर - एक दोस्रो-चरण ड्रपर जुन दृढता प्राप्त गर्न र त्यसपछि C2 सर्भरहरूबाट अर्को चरणको पेलोड ल्याउने र कार्यान्वयन गर्ने काम दिइएको छ। यसको धम्कीपूर्ण VBScript फाइलले वैध विन्डोज कार्य जस्तै नाम धारण गर्दछ र त्यसपछि कि त रजिस्ट्रीमा वा तोडिएको प्रणालीको डिस्कमा अस्पष्ट ढाँचामा भण्डारण गरिन्छ।
•  गोल्डफाइन्डर मालवेयर - उच्च-विशिष्ट मालवेयर तनाव जसले HTTP ट्रेसर उपकरणको रूपमा कार्य गर्दछ। प्याकेटहरूले C2 सर्भरहरूमा जाने बाटोको सही मार्ग पत्ता लगाउँछ। गोल्डफाइन्डरले कुनै पनि HTTP प्रोक्सी सर्भरहरूको नोबेलियम ह्याकरहरूलाई सचेत गराउन सक्छ वा सम्झौता गरिएको संगठनद्वारा तैनात नेटवर्क सुरक्षा उपकरणहरूको कारणले गर्दा अन्य पुनर्निर्देशनहरू।

 नोबेलियमले थप अनुकूलन-निर्मित उपकरणहरू जारी गर्न जारी राखेको छ जसले तिनीहरूलाई उनीहरूको खतरापूर्ण लक्ष्यहरू प्राप्त गर्न मद्दत गर्दछ। ह्याकरहरूले पहिले नै सोलारविन्ड्सका 18,000 भन्दा बढी ग्राहकहरूलाई सम्झौता गर्न व्यवस्थित गरिसकेका छन्। पीडितहरूमा प्रमुख प्राविधिक कम्पनीहरू र अमेरिकी सरकारी एजेन्सीहरू थिए।