Нобелиум АПТ

Нобелиум АПТ Опис

Нобелиум АПТ је прошле године постао главни играч у области сајбер шпијунаже када је раније непозната хакерска група извела масиван напад на ланац снабдевања против софтверског програмера СоларВиндс. У то време, Мицрософт је доделио име Соларигате хакерском колективу, али га је касније променио у Нобелијум. Компанија за сајбер безбедност ФиреЕие прати активност групе под ознаком УНЦ2542.

Тхе СоларВиндс Аттацк

 Хак против СоларВиндс-а показао је да је Нобелиум применио четири различита соја злонамерног софтвера који су им помогли да оркестрирају напад на ланац снабдевања. Прво, хакери су бацили Сунспот малвер на сервер за изградњу одмах након што је дошло до пробоја мреже СоларВиндс-а. Сој злонамерног софтвера је дизајниран са јединственом сврхом - да чека на серверу за изградњу док не открије команду за прављење која је саставила један од СоларВиндс-ових главних производа - платформу за праћење ИТ ресурса Орион. У то време више од 33.000 купаца користило је Орион. Када Сунспот идентификује праве околности за активирање, он би крадомице заменио одређене датотеке изворног кода оштећеним датотекама које су биле одговорне за учитавање следећег степена корисног оптерећења - Сунбурст малвера. Као резултат тога, сада тројанизована верзија Ориона је дистрибуирана клијентима компаније који су потом заразили своје интерне мреже након што су је извршили.

 Сунбурст је деловао као алат за извиђање који је прикупљао податке из система угрожене организације, а затим их преносио назад хакерима. Прикупљене информације је затим користио Нобелијум да одлучи да ли је конкретна жртва довољно важна да оправда даљу ескалацију напада. Они за које се сматрало да су вредни ризика били су подвргнути последњој фази напада која се састојала од постављања моћнијег бацкдоор-а Теардроп. Истовремено са испоруком Теардропа, Сунбурст је добио инструкције да се избрише како би смањио отисак нападача на компромитованом систему. На неколико одабраних жртава, хакери су испоручили сој злонамерног софтвера који је функционално одражавао Теардроп, али се драстично разликовао у свом основном коду. Названа Раиндроп , ова претња од малвера збунила је истраживаче јер нису могли да одреде њену улазну тачку, за разлику од Теардроп-а који је директно избацио Сунбурст малвер претходне фазе. ГолдМак

 Истраживачи откривају нове врсте злонамерног софтвера у вези са Нобелијумом

 Хакери Нобелијума не успоравају своје активности, како су открили Мајкрософт и безбедносна компанија ФиреЕие који још увек прате групу. Истраживачи су били сведоци неколико нових сојева малвера направљених по мери који су додати у арсенал сајбер криминалаца. Ови укључују: 

  • ГолдМак /Сунсхуттле Малвер - софистицирана претња у позадини. Његова главна карактеристика је могућност мешања саобраћаја изазваног његовом комуникацијом са Ц2 серверима бирањем упућивача са листе легитимних УРЛ адреса веб локација које укључују Гоогле.цом, Фацебоок.цом, Иахоо.цом и Бинг.цом.
  •  Сибот злонамерни софтвер - другостепени дроппер који има задатак да постигне упорност и затим преузме и изврши корисни терет следеће фазе са Ц2 сервера. Њена претећа ВБСцрипт датотека преузима име слично легитимном Виндовс задатку и затим се чува или у Регистру или у замагљеном формату на диску оштећеног система.
  •  Злонамерни софтвер ГолдФиндер – високо специјализована врста малвера која делује као ХТТП алат за праћење. Претња приказује тачну руту којом пакети иду на свом путу до Ц2 сервера. ГолдФиндер онда може да упозори Нобелиум хакере на било који ХТТП прокси сервер или друга преусмеравања изазвана уређајима за безбедност мреже које је поставила компромитована организација.

 Нобелиум наставља да ослобађа више прилагођених алата који им помажу да боље остваре своје претеће циљеве. Хакери су већ успели да компромитују преко 18.000 корисника СоларВиндс-а. Међу жртвама су биле истакнуте технолошке компаније и америчке владине агенције.