Nobelium APT

De Nobelium APT werd vorig jaar een belangrijke speler in het cyberspionage-landschap toen de voorheen onbekende hackergroep een massale supply chain-aanval uitvoerde tegen de softwareontwikkelaar SolarWinds. Microsoft kende de naam Solarigate destijds toe aan het hackercollectief, maar veranderde deze later in Nobelium. Het cyberbeveiligingsbedrijf FireEye volgt de activiteit van de groep onder de aanduiding UNC2542.

De SolarWinds-aanval

 De hack tegen SolarWinds zag Nobelium vier verschillende malware-varianten inzetten die hen hielpen bij het orkestreren van de supply chain-aanval. Ten eerste lieten de hackers de Sunspot- malware op een build-server vallen onmiddellijk nadat de inbreuk op het netwerk van SolarWinds had plaatsgevonden. De malware-stam is ontworpen met een uniek doel: op de build-server wachten totdat deze een build-commando detecteert dat een van de belangrijkste producten van SolarWinds heeft samengesteld: het IT-middelenmonitoringplatform Orion. Destijds maakten meer dan 33.000 klanten gebruik van Orion. Wanneer Sunspot de juiste omstandigheden identificeert om te activeren, zou het stiekem bepaalde broncodebestanden vervangen door beschadigde bestanden die verantwoordelijk waren voor het laden van de volgende fase: de Sunburst- malware. Als gevolg hiervan werd de nu getrojaniseerde versie van Orion gedistribueerd naar de klanten van het bedrijf, die vervolgens hun interne netwerken infecteerden bij het uitvoeren ervan.

 Sunburst fungeerde als een verkenningshulpmiddel dat gegevens verzamelde van de systemen van de gecompromitteerde organisatie en deze vervolgens doorstuurde naar de hackers. De verzamelde informatie werd vervolgens door Nobelium gebruikt om te beslissen of het specifieke slachtoffer belangrijk genoeg was om verdere escalatie van de aanval te rechtvaardigen. Degenen die het risico waard werden geacht, werden onderworpen aan de laatste fase van de aanval, die bestond uit het inzetten van de krachtigere Teardrop- achterdeur. Gelijktijdig met de levering van Teardrop, kreeg Sunburst de opdracht zichzelf te verwijderen om de voetafdruk van de aanvaller op het gecompromitteerde systeem te verkleinen. Bij een select aantal slachtoffers leverden de hackers een malware-soort die functioneel spiegelde van Teardrop, maar drastisch verschilde in de onderliggende code. Deze malwarebedreiging, genaamd Raindrop, verbijsterde de onderzoekers omdat ze het toegangspunt niet konden bepalen, in tegenstelling tot Teardrop, dat rechtstreeks werd verwijderd door de Sunburst-malware in de vorige fase. GoldMax

 Onderzoekers ontdekken nieuwe aan Nobelium gerelateerde malwarestammen

 De Nobelium-hackers vertragen hun activiteiten niet, zoals onthuld door Microsoft en het FireEye-beveiligingsbedrijf die de groep nog steeds in de gaten houden. De onderzoekers zijn getuige geweest van verschillende nieuwe op maat gemaakte malwarestammen die zijn toegevoegd aan het arsenaal van cybercriminelen. Waaronder: 

• GoldMax / Sunshuttle Malware - een geavanceerde achterdeurbedreiging. Het belangrijkste kenmerk is de mogelijkheid om het verkeer dat wordt veroorzaakt door de communicatie met de C2-servers te combineren door verwijzers te selecteren uit een lijst met legitieme website-URL's, waaronder Google.com, Facebook.com, Yahoo.com en Bing.com.
•  De Sibot Malware - een dropper in de tweede fase die de taak heeft om persistentie te bereiken en vervolgens de payload van de volgende fase van de C2-servers op te halen en uit te voeren. Het bedreigende VBScript-bestand neemt een naam aan die lijkt op een legitieme Windows-taak en wordt vervolgens opgeslagen in het register of in een versluierde indeling op de schijf van het geschonden systeem.
•  De GoldFinder Malware - zeer gespecialiseerde malwarestam die fungeert als een HTTP-tracer-tool. De dreiging brengt de exacte route in kaart die pakketten afleggen op weg naar de C2-servers. GoldFinder kan vervolgens de Nobelium-hackers waarschuwen voor HTTP-proxyservers of andere omleidingen die worden veroorzaakt door netwerkbeveiligingsapparatuur die door de gecompromitteerde organisatie is geïmplementeerd.

 Nobelium blijft meer op maat gemaakte tools ontketenen die hen helpen hun bedreigende doelen beter te bereiken. De hackers wisten al meer dan 18.000 van de klanten van SolarWinds in gevaar te brengen. Onder de slachtoffers waren prominente technologiebedrijven en Amerikaanse overheidsinstanties.