నోబెలియం APT
సాఫ్ట్వేర్ డెవలపర్ సోలార్విండ్స్పై గతంలో తెలియని హ్యాకర్ సమూహం భారీ సరఫరా-గొలుసు దాడిని చేపట్టినప్పుడు నోబెలియం APT గత సంవత్సరం సైబర్-గూఢచర్య ల్యాండ్స్కేప్లో ప్రధాన ఆటగాడిగా మారింది. ఆ సమయంలో, మైక్రోసాఫ్ట్ హ్యాకర్ కలెక్టివ్కు సోలారిగేట్ అనే పేరును కేటాయించింది కానీ తర్వాత దానిని నోబెలియంగా మార్చింది. సైబర్ సెక్యూరిటీ కంపెనీ FireEye UNC2542 హోదాలో సమూహం యొక్క కార్యాచరణను ట్రాక్ చేస్తుంది.
SolarWinds దాడి
సోలార్విండ్స్కు వ్యతిరేకంగా జరిగిన హ్యాక్, సరఫరా-గొలుసు దాడిని ఆర్కెస్ట్రేట్ చేయడంలో వారికి సహాయపడే నాలుగు వేర్వేరు మాల్వేర్ జాతులను నోబెలియం అమలు చేసింది. మొదట, సోలార్విండ్స్ నెట్వర్క్ ఉల్లంఘన జరిగిన వెంటనే హ్యాకర్లు సన్స్పాట్ మాల్వేర్ను బిల్డ్ సర్వర్లో వదిలివేశారు. మాల్వేర్ స్ట్రెయిన్ ఒక ఏకైక ఉద్దేశ్యంతో రూపొందించబడింది - సోలార్విండ్స్ యొక్క ప్రధాన ఉత్పత్తులలో ఒకటైన ఐటి వనరుల పర్యవేక్షణ ప్లాట్ఫారమ్ ఓరియన్ని అసెంబ్లింగ్ చేసిన బిల్డ్ కమాండ్ను గుర్తించే వరకు బిల్డ్ సర్వర్లో వేచి ఉండటానికి. ఆ సమయంలో 33,000 మంది వినియోగదారులు ఓరియన్ను ఉపయోగిస్తున్నారు. సన్స్పాట్ సక్రియం చేయడానికి సరైన పరిస్థితులను గుర్తించినప్పుడు, అది కొన్ని సోర్స్ కోడ్ ఫైల్లను దొంగతనంగా భర్తీ చేస్తుంది, అవి తదుపరి దశ పేలోడ్ను లోడ్ చేయడానికి బాధ్యత వహించే పాడైన వాటితో భర్తీ చేస్తాయి - సన్బర్స్ట్ మాల్వేర్. ఫలితంగా, ఇప్పుడు ట్రోజనైజ్ చేయబడిన ఓరియన్ వెర్షన్ కంపెనీ క్లయింట్లకు పంపిణీ చేయబడింది, వారు దానిని అమలు చేసిన తర్వాత వారి అంతర్గత నెట్వర్క్లకు సోకింది.
సన్బర్స్ట్ ఒక నిఘా సాధనంగా పనిచేసింది, ఇది రాజీపడిన సంస్థ యొక్క సిస్టమ్ల నుండి డేటాను సేకరించి, దానిని హ్యాకర్లకు తిరిగి ప్రసారం చేస్తుంది. దాడిని మరింత తీవ్రతరం చేయడానికి నిర్దిష్ట బాధితుడు ముఖ్యమైనవా కాదా అని నిర్ణయించడానికి సేకరించిన సమాచారాన్ని నోబెలియం ఉపయోగించింది. ప్రమాదానికి విలువైనవిగా భావించిన వారు మరింత శక్తివంతమైన టియర్డ్రాప్ బ్యాక్డోర్ను మోహరించే చివరి దశ దాడికి గురయ్యారు. టియర్డ్రాప్ డెలివరీతో పాటు, రాజీపడిన సిస్టమ్పై దాడి చేసేవారి పాదముద్రను తగ్గించడానికి సన్బర్స్ట్ స్వయంగా తొలగించమని ఆదేశించబడింది. ఎంపిక చేసిన కొంతమంది బాధితులపై, హ్యాకర్లు మాల్వేర్ స్ట్రెయిన్ను పంపిణీ చేశారు, అది టియర్డ్రాప్ను క్రియాత్మకంగా ప్రతిబింబిస్తుంది కానీ దాని అంతర్లీన కోడ్లో చాలా తేడా ఉంది. రెయిన్డ్రాప్ అని పిలువబడే ఈ మాల్వేర్ ముప్పు పరిశోధకులను కలవరపెట్టింది, ఎందుకంటే వారు దాని ఎంట్రీ పాయింట్ను గుర్తించలేకపోయారు, ఇది మునుపటి దశ సన్బర్స్ట్ మాల్వేర్ ద్వారా నేరుగా పడిపోయిన టియర్డ్రాప్ వలె కాకుండా. గోల్డ్మాక్స్
పరిశోధకులు కొత్త నోబెలియం-సంబంధిత మాల్వేర్ జాతులను వెలికితీశారు
మైక్రోసాఫ్ట్ మరియు ఫైర్ఐ సెక్యూరిటీ కంపెనీ వెల్లడించిన ప్రకారం నోబెలియం హ్యాకర్లు తమ కార్యకలాపాలను నెమ్మదింపజేయడం లేదు. సైబర్ నేరగాళ్ల ఆయుధశాలకు జోడించబడిన అనేక కొత్త కస్టమ్-బిల్డ్ మాల్వేర్ స్ట్రెయిన్లను పరిశోధకులు చూశారు. వీటితొ పాటు:
- GoldMax /Sunshuttle మాల్వేర్ - ఒక అధునాతన బ్యాక్డోర్ ముప్పు. Google.com, Facebook.com, Yahoo.com మరియు Bing.com వంటి వాటిని కలిగి ఉన్న చట్టబద్ధమైన వెబ్సైట్ URLల జాబితా నుండి రెఫరర్లను ఎంచుకోవడం ద్వారా C2 సర్వర్లతో దాని కమ్యూనికేషన్ కారణంగా ఏర్పడే ట్రాఫిక్ను మిళితం చేసే సామర్థ్యం దీని ప్రధాన లక్షణం.
- సిబోట్ మాల్వేర్ - రెండవ-దశ డ్రాపర్, ఇది పట్టుదలను సాధించి, ఆపై C2 సర్వర్ల నుండి తదుపరి-దశ పేలోడ్ని పొందడం మరియు అమలు చేయడం. దాని బెదిరింపు VBScript ఫైల్ చట్టబద్ధమైన విండోస్ టాస్క్కు సమానమైన పేరును కలిగి ఉంటుంది మరియు ఆపై రిజిస్ట్రీలో లేదా ఉల్లంఘించిన సిస్టమ్ యొక్క డిస్క్లో అస్పష్టమైన ఆకృతిలో నిల్వ చేయబడుతుంది.
- గోల్డ్ఫైండర్ మాల్వేర్ - HTTP ట్రేసర్ టూల్గా పనిచేసే అత్యంత ప్రత్యేకమైన మాల్వేర్ స్ట్రెయిన్. ప్యాకెట్లు C2 సర్వర్లకు వెళ్లే ఖచ్చితమైన మార్గాన్ని ముప్పు మ్యాప్ చేస్తుంది. గోల్డ్ఫైండర్ ఏదైనా HTTP ప్రాక్సీ సర్వర్ల యొక్క నోబెలియం హ్యాకర్లను లేదా రాజీపడిన సంస్థచే అమలు చేయబడిన నెట్వర్క్ భద్రతా పరికరాల వల్ల కలిగే ఇతర దారి మళ్లింపులను హెచ్చరిస్తుంది.
నోబెలియం వారి బెదిరింపు లక్ష్యాలను మెరుగ్గా సాధించడంలో వారికి సహాయపడే మరిన్ని అనుకూల-నిర్మిత సాధనాలను విడుదల చేయడం కొనసాగిస్తోంది. హ్యాకర్లు ఇప్పటికే సోలార్ విండ్స్ యొక్క 18,000 మంది కస్టమర్లతో రాజీ పడ్డారు. బాధితుల్లో ప్రముఖ టెక్ కంపెనీలు మరియు US ప్రభుత్వ సంస్థలు ఉన్నాయి.