నోబెలియం APT

సాఫ్ట్‌వేర్ డెవలపర్ సోలార్‌విండ్స్‌పై గతంలో తెలియని హ్యాకర్ సమూహం భారీ సరఫరా-గొలుసు దాడిని చేపట్టినప్పుడు నోబెలియం APT గత సంవత్సరం సైబర్-గూఢచర్య ల్యాండ్‌స్కేప్‌లో ప్రధాన ఆటగాడిగా మారింది. ఆ సమయంలో, మైక్రోసాఫ్ట్ హ్యాకర్ కలెక్టివ్‌కు సోలారిగేట్ అనే పేరును కేటాయించింది కానీ తర్వాత దానిని నోబెలియంగా మార్చింది. సైబర్‌ సెక్యూరిటీ కంపెనీ FireEye UNC2542 హోదాలో సమూహం యొక్క కార్యాచరణను ట్రాక్ చేస్తుంది.

SolarWinds దాడి

 సోలార్‌విండ్స్‌కు వ్యతిరేకంగా జరిగిన హ్యాక్, సరఫరా-గొలుసు దాడిని ఆర్కెస్ట్రేట్ చేయడంలో వారికి సహాయపడే నాలుగు వేర్వేరు మాల్వేర్ జాతులను నోబెలియం అమలు చేసింది. మొదట, సోలార్‌విండ్స్ నెట్‌వర్క్ ఉల్లంఘన జరిగిన వెంటనే హ్యాకర్లు సన్‌స్పాట్ మాల్వేర్‌ను బిల్డ్ సర్వర్‌లో వదిలివేశారు. మాల్వేర్ స్ట్రెయిన్ ఒక ఏకైక ఉద్దేశ్యంతో రూపొందించబడింది - సోలార్‌విండ్స్ యొక్క ప్రధాన ఉత్పత్తులలో ఒకటైన ఐటి వనరుల పర్యవేక్షణ ప్లాట్‌ఫారమ్ ఓరియన్‌ని అసెంబ్లింగ్ చేసిన బిల్డ్ కమాండ్‌ను గుర్తించే వరకు బిల్డ్ సర్వర్‌లో వేచి ఉండటానికి. ఆ సమయంలో 33,000 మంది వినియోగదారులు ఓరియన్‌ను ఉపయోగిస్తున్నారు. సన్‌స్పాట్ సక్రియం చేయడానికి సరైన పరిస్థితులను గుర్తించినప్పుడు, అది కొన్ని సోర్స్ కోడ్ ఫైల్‌లను దొంగతనంగా భర్తీ చేస్తుంది, అవి తదుపరి దశ పేలోడ్‌ను లోడ్ చేయడానికి బాధ్యత వహించే పాడైన వాటితో భర్తీ చేస్తాయి - సన్‌బర్స్ట్ మాల్వేర్. ఫలితంగా, ఇప్పుడు ట్రోజనైజ్ చేయబడిన ఓరియన్ వెర్షన్ కంపెనీ క్లయింట్‌లకు పంపిణీ చేయబడింది, వారు దానిని అమలు చేసిన తర్వాత వారి అంతర్గత నెట్‌వర్క్‌లకు సోకింది.

 సన్‌బర్స్ట్ ఒక నిఘా సాధనంగా పనిచేసింది, ఇది రాజీపడిన సంస్థ యొక్క సిస్టమ్‌ల నుండి డేటాను సేకరించి, దానిని హ్యాకర్లకు తిరిగి ప్రసారం చేస్తుంది. దాడిని మరింత తీవ్రతరం చేయడానికి నిర్దిష్ట బాధితుడు ముఖ్యమైనవా కాదా అని నిర్ణయించడానికి సేకరించిన సమాచారాన్ని నోబెలియం ఉపయోగించింది. ప్రమాదానికి విలువైనవిగా భావించిన వారు మరింత శక్తివంతమైన టియర్‌డ్రాప్ బ్యాక్‌డోర్‌ను మోహరించే చివరి దశ దాడికి గురయ్యారు. టియర్‌డ్రాప్ డెలివరీతో పాటు, రాజీపడిన సిస్టమ్‌పై దాడి చేసేవారి పాదముద్రను తగ్గించడానికి సన్‌బర్స్ట్ స్వయంగా తొలగించమని ఆదేశించబడింది. ఎంపిక చేసిన కొంతమంది బాధితులపై, హ్యాకర్లు మాల్వేర్ స్ట్రెయిన్‌ను పంపిణీ చేశారు, అది టియర్‌డ్రాప్‌ను క్రియాత్మకంగా ప్రతిబింబిస్తుంది కానీ దాని అంతర్లీన కోడ్‌లో చాలా తేడా ఉంది. రెయిన్‌డ్రాప్ అని పిలువబడే ఈ మాల్‌వేర్ ముప్పు పరిశోధకులను కలవరపెట్టింది, ఎందుకంటే వారు దాని ఎంట్రీ పాయింట్‌ను గుర్తించలేకపోయారు, ఇది మునుపటి దశ సన్‌బర్స్ట్ మాల్వేర్ ద్వారా నేరుగా పడిపోయిన టియర్‌డ్రాప్ వలె కాకుండా. గోల్డ్‌మాక్స్

 పరిశోధకులు కొత్త నోబెలియం-సంబంధిత మాల్వేర్ జాతులను వెలికితీశారు

 మైక్రోసాఫ్ట్ మరియు ఫైర్‌ఐ సెక్యూరిటీ కంపెనీ వెల్లడించిన ప్రకారం నోబెలియం హ్యాకర్లు తమ కార్యకలాపాలను నెమ్మదింపజేయడం లేదు. సైబర్ నేరగాళ్ల ఆయుధశాలకు జోడించబడిన అనేక కొత్త కస్టమ్-బిల్డ్ మాల్వేర్ స్ట్రెయిన్‌లను పరిశోధకులు చూశారు. వీటితొ పాటు: 

• GoldMax /Sunshuttle మాల్వేర్ - ఒక అధునాతన బ్యాక్‌డోర్ ముప్పు. Google.com, Facebook.com, Yahoo.com మరియు Bing.com వంటి వాటిని కలిగి ఉన్న చట్టబద్ధమైన వెబ్‌సైట్ URLల జాబితా నుండి రెఫరర్‌లను ఎంచుకోవడం ద్వారా C2 సర్వర్‌లతో దాని కమ్యూనికేషన్ కారణంగా ఏర్పడే ట్రాఫిక్‌ను మిళితం చేసే సామర్థ్యం దీని ప్రధాన లక్షణం.
•  సిబోట్ మాల్వేర్ - రెండవ-దశ డ్రాపర్, ఇది పట్టుదలను సాధించి, ఆపై C2 సర్వర్‌ల నుండి తదుపరి-దశ పేలోడ్‌ని పొందడం మరియు అమలు చేయడం. దాని బెదిరింపు VBScript ఫైల్ చట్టబద్ధమైన విండోస్ టాస్క్‌కు సమానమైన పేరును కలిగి ఉంటుంది మరియు ఆపై రిజిస్ట్రీలో లేదా ఉల్లంఘించిన సిస్టమ్ యొక్క డిస్క్‌లో అస్పష్టమైన ఆకృతిలో నిల్వ చేయబడుతుంది.
•  గోల్డ్‌ఫైండర్ మాల్వేర్ - HTTP ట్రేసర్ టూల్‌గా పనిచేసే అత్యంత ప్రత్యేకమైన మాల్వేర్ స్ట్రెయిన్. ప్యాకెట్లు C2 సర్వర్‌లకు వెళ్లే ఖచ్చితమైన మార్గాన్ని ముప్పు మ్యాప్ చేస్తుంది. గోల్డ్‌ఫైండర్ ఏదైనా HTTP ప్రాక్సీ సర్వర్‌ల యొక్క నోబెలియం హ్యాకర్‌లను లేదా రాజీపడిన సంస్థచే అమలు చేయబడిన నెట్‌వర్క్ భద్రతా పరికరాల వల్ల కలిగే ఇతర దారి మళ్లింపులను హెచ్చరిస్తుంది.

 నోబెలియం వారి బెదిరింపు లక్ష్యాలను మెరుగ్గా సాధించడంలో వారికి సహాయపడే మరిన్ని అనుకూల-నిర్మిత సాధనాలను విడుదల చేయడం కొనసాగిస్తోంది. హ్యాకర్లు ఇప్పటికే సోలార్ విండ్స్ యొక్క 18,000 మంది కస్టమర్లతో రాజీ పడ్డారు. బాధితుల్లో ప్రముఖ టెక్ కంపెనీలు మరియు US ప్రభుత్వ సంస్థలు ఉన్నాయి.