Nobelium APT

Nobelium APT Beskrivning

Nobelium APT blev en stor aktör i cyberspionagelandskapet förra året när den tidigare okända hackergruppen genomförde en massiv supply-chain attack mot mjukvaruutvecklaren SolarWinds. Vid den tiden tilldelade Microsoft namnet Solarigate till hackerkollektivet men ändrade det senare till Nobelium. Cybersäkerhetsföretaget FireEye spårar gruppens aktivitet under UNC2542-beteckningen.

Den Solarwinds Attack

 Hacket mot SolarWinds såg att Nobelium distribuerade fyra olika skadliga stammar som hjälpte dem att orkestrera attacken i leveranskedjan. Först släppte hackarna Sunspot malware på en byggserver direkt efter att intrånget i SolarWinds nätverk inträffade. Skadlig programvara designades med ett unikt syfte - att vänta på byggservern tills den upptäcker ett byggkommando som sammanställde en av SolarWinds huvudprodukter - IT-resursövervakningsplattformen Orion. Vid den tiden använde över 33 000 kunder Orion. När Sunspot identifierar de rätta omständigheterna för att aktiveras, skulle det smygande ersätta vissa källkodsfiler med skadade som var ansvariga för att ladda nästa nyttolast - Sunburst- skadlig programvara. Som ett resultat distribuerades den nu trojaniserade versionen av Orion till företagets kunder som sedan infekterade sina interna nätverk när de kördes.

 Sunburst fungerade som ett spaningsverktyg som samlade in data från den komprometterade organisationens system och sedan vidarebefordrade den till hackarna. Den insamlade informationen användes sedan av Nobelium för att avgöra om det specifika offret var tillräckligt viktigt för att motivera ytterligare eskalering av attacken. De som ansågs värda risken utsattes för den sista fasen av attacken som bestod av att utplacera den mer kraftfulla Teardrop- bakdörren. Samtidigt med leveransen av Teardrop instruerades Sunburst att ta bort sig själv för att minska angriparens fotavtryck på det komprometterade systemet. På ett fåtal utvalda offer levererade hackarna en skadlig kod som speglade Teardrop funktionellt men skilde sig drastiskt i sin underliggande kod. Kallas Raindrop, detta skadliga hot förbryllade forskarna eftersom de inte kunde fastställa dess ingångspunkt, till skillnad från Teardrop som släpptes direkt av Sunburst-skadlig programvara i föregående skede. GoldMax

 Forskare avslöjar nya Nobelium-relaterade skadliga program

 Nobelium-hackarna saktar inte ner sin verksamhet, vilket avslöjats av Microsoft och säkerhetsföretaget FireEye som fortfarande övervakar gruppen. Forskarna har sett flera nya specialbyggda skadliga stammar som har lagts till arsenalen av cyberbrottslingar. Dessa inkluderar: 

  • GoldMax /Sunshuttle Malware - ett sofistikerat bakdörrshot. Dess huvudsakliga funktion är möjligheten att blanda trafiken som orsakas av dess kommunikation med C2-servrarna genom att välja referenser från en lista med legitima webbadresser som inkluderar Google.com, Facebook.com, Yahoo.com och Bing.com.
  •  Sibot Malware - en andra stegs dropper som har till uppgift att uppnå uthållighet och sedan hämta och exekvera nyttolasten i nästa steg från C2-servrarna. Dess hotfulla VBScript-fil antar ett namn som liknar en legitim Windows-uppgift och lagras sedan i antingen registret eller i ett fördunklat format på disken i det brutna systemet.
  •  GoldFinder Malware - högspecialiserad skadlig kod som fungerar som ett HTTP-spårningsverktyg. Hotet kartlägger den exakta vägen som paket tar på väg till C2-servrarna. GoldFinder kan sedan varna Nobelium-hackarna om alla HTTP-proxyservrar eller andra omdirigeringar som orsakas av nätverkssäkerhetsenheter utplacerade av den komprometterade organisationen.

 Nobelium fortsätter att släppa lös fler skräddarsydda verktyg som hjälper dem att bättre nå sina hotfulla mål. Hackarna har redan lyckats kompromissa med över 18 000 av SolarWinds kunder. Bland offren fanns framstående teknikföretag och amerikanska myndigheter.