Нобелий APT

В прошлом году Nobelium APT стал крупным игроком в сфере кибершпионажа, когда ранее неизвестная хакерская группа осуществила массовую атаку цепочки поставок на разработчика программного обеспечения SolarWinds. В то время Microsoft присвоила хакерскому коллективу название Solarigate, но позже сменила его на Nobelium. Компания по кибербезопасности FireEye отслеживает деятельность группы под обозначением UNC2542.

Атака SolarWinds

 В результате взлома SolarWinds компания Nobelium развернула четыре различных вредоносных программы, которые помогли им организовать атаку на цепочку поставок. Во-первых, хакеры сбросили вредоносную программу Sunspot на сервер сборки сразу после взлома сети SolarWinds. Штамм вредоносного ПО был разработан с единственной целью - подстерегать сервер сборки, пока он не обнаружит команду сборки, которая собрала один из основных продуктов SolarWinds - платформу мониторинга ИТ-ресурсов Orion. В то время Orion использовали более 33 000 клиентов. Когда Sunspot определяет подходящие обстоятельства для активации, он незаметно заменяет определенные файлы исходного кода поврежденными, которые ответственны за загрузку полезной нагрузки следующего этапа - вредоносной программы Sunburst. В результате теперь троянизированная версия Orion была распространена среди клиентов компании, которые после ее запуска заразили свои внутренние сети.

 Sunburst действовал как инструмент разведки, который собирал данные из систем скомпрометированной организации и затем передавал их хакерам. Собранная информация была затем использована Nobelium, чтобы решить, была ли конкретная жертва достаточно важной, чтобы гарантировать дальнейшую эскалацию атаки. Те, кого считали достойными риска, подвергались заключительной фазе атаки, которая заключалась в развертывании более мощного бэкдора Teardrop. Одновременно с доставкой Teardrop Sunburst было приказано удалить себя, чтобы уменьшить влияние злоумышленника на скомпрометированную систему. На нескольких избранных жертвах хакеры предоставили штамм вредоносного ПО, которое функционально отражало Teardrop, но существенно отличалось по основному коду. Эта вредоносная угроза, получившая название Raindrop , озадачила исследователей, поскольку они не смогли определить точку входа, в отличие от Teardrop, которая была удалена непосредственно вредоносным ПО Sunburst на предыдущем этапе. GoldMax

 Исследователи обнаружили новые штаммы вредоносных программ, связанных с нобелием

 Хакеры Nobelium не замедляют свою деятельность, как сообщили Microsoft и компания по обеспечению безопасности FireEye, которые все еще следят за группировкой. Исследователи стали свидетелями нескольких новых вредоносных программ, созданных на заказ, которые были добавлены в арсенал киберпреступников. К ним относятся: 

• GoldMax / Sunshuttle Malware - сложная бэкдор-угроза. Его главная особенность - способность смешивать трафик, вызванный его взаимодействием с серверами C2, путем выбора рефереров из списка законных URL-адресов веб-сайтов, который включает такие, как Google.com, Facebook.com, Yahoo.com и Bing.com.
•  Sibot Malware - дроппер второго уровня, задачей которого является достижение устойчивости, а затем получение и выполнение полезной нагрузки следующего этапа с серверов C2. Его угрожающий файл VBScript принимает имя, подобное законной задаче Windows, и затем сохраняется либо в реестре, либо в скрытом формате на диске взломанной системы.
•  GoldFinder Malware - узкоспециализированная вредоносная программа, которая действует как инструмент отслеживания HTTP. Угроза определяет точный маршрут, по которому пакеты идут к серверам C2. GoldFinder может затем предупредить хакеров Nobelium о любых прокси-серверах HTTP или других перенаправлениях, вызванных устройствами сетевой безопасности, развернутыми взломанной организацией.

 Nobelium продолжает выпускать больше нестандартных инструментов, которые помогают им лучше достигать своих угрожающих целей. Хакерам уже удалось скомпрометировать более 18 000 клиентов SolarWinds. Среди жертв были известные технологические компании и правительственные учреждения США.