Nobelium APT

O Nobelium APT se tornou um jogador importante no cenário da espionagem cibernética no ano passado, quando o grupo de hackers até então desconhecido realizou um ataque massivo na cadeia de suprimentos contra o desenvolvedor de software SolarWinds. Na época, a Microsoft atribuiu o nome Solarigate ao coletivo de hackers, mas depois o mudou para Nobelium. A empresa de segurança cibernética FireEye rastreia a atividade do grupo sob a designação UNC2542.

O Ataque ao SolarWinds

 O hack contra o SolarWinds viu o Nobelium implantar quatro tipos de malware diferentes que os ajudaram a orquestrar o ataque à cadeia de suprimentos. Primeiro, os hackers soltaram o malware Sunspot em um servidor de compilação imediatamente após a violação da rede da SolarWinds ter ocorrido. A cepa de malware foi projetada com um propósito único - esperar no servidor de compilação até detectar um comando de compilação que montou um dos principais produtos da SolarWinds - a plataforma de monitoramento de recursos de TI Orion. Na época, mais de 33.000 clientes estavam usando o Orion. Quando o Sunspot identifica as circunstâncias certas para a ativação, ele substitui furtivamente certos arquivos de código-fonte por arquivos corrompidos que são responsáveis por carregar a carga útil do próximo estágio - o malware Sunburst. Como resultado, a versão agora trojanizada do Orion foi distribuída aos clientes da empresa, que infectaram suas redes internas ao executá-la.

 O Sunburst agia como uma ferramenta de reconhecimento que coletava dados dos sistemas da organização comprometida e os retransmitia para os hackers. As informações coletadas foram então usadas pelo Nobelium para decidir se a vítima específica era importante o suficiente para justificar a escalada do ataque. Aqueles que foram considerados dignos de risco foram submetidos à fase final do ataque, que consistiu em implantar a porta dos fundos Teardrop, mais poderosa. Simultaneamente com a entrega do Teardrop, Sunburst foi instruído a se excluir para reduzir a pegada do invasor no sistema comprometido. Em algumas vítimas selecionadas, os hackers entregaram uma cepa de malware que espelhava o Teardrop funcionalmente, mas diferia drasticamente em seu código subjacente. Chamada de Raindrop , essa ameaça de malware confundiu os pesquisadores, pois eles não puderam determinar seu ponto de entrada, ao contrário do Teardrop, que foi descartado diretamente pelo malware Sunburst de estágio anterior. GoldMax

 Os Pesquisadores Descobrem Novos Tipos de Malware Relacionados ao Nobelium

 Os hackers do Nobelium não estão diminuindo suas atividades, conforme revelado pela Microsoft e pela empresa de segurança FireEye, que ainda monitoram o grupo. Os pesquisadores testemunharam várias novas cepas de malware customizadas que foram adicionadas ao arsenal de cibercriminosos. Esses incluem: 

• Malware GoldMax/Sunshuttle - uma ameaça sofisticada de backdoor. Sua principal característica é a capacidade de mesclar o tráfego causado por sua comunicação com os servidores C2, selecionando referenciadores em uma lista de URLs de sites legítimos que incluem Google.com, Facebook.com, Yahoo.com e Bing.com.
•  O Malware Sibot - um dropper de segundo estágio que tem a tarefa de alcançar persistência e, em seguida, buscar e executar a carga útil do próximo estágio dos servidores C2. Seu arquivo VBScript ameaçador assume um nome semelhante a uma tarefa legítima do Windows e é então armazenado no Registro ou em um formato ofuscado no disco do sistema violado.
•  O GoldFinder Malware - um tipo de malware altamente especializado que atua como uma ferramenta rastreadora de HTTP. A ameaça mapeia a rota exata que os pacotes seguem no seu caminho para os servidores C2. O GoldFinder pode então alertar os hackers do Nobelium sobre quaisquer servidores proxy HTTP ou outros redirecionamentos causados por dispositivos de segurança de rede implantados pela organização comprometida.

 A Nobelium continua a lançar mais ferramentas personalizadas que os ajudam a alcançar melhor seus objetivos ameaçadores. Os hackers já conseguiram comprometer mais de 18.000 clientes da SolarWinds. Entre as vítimas estavam empresas de tecnologia proeminentes e agências governamentais dos Estados Unidos.