โนบีเลียม APT

โนบีเลียม APT คำอธิบาย

Nobelium APT กลายเป็นผู้เล่นหลักในแนวการจารกรรมทางไซเบอร์ในปีที่แล้ว เมื่อกลุ่มแฮ็กเกอร์ที่ไม่รู้จักก่อนหน้านี้ทำการโจมตีห่วงโซ่อุปทานครั้งใหญ่กับผู้พัฒนาซอฟต์แวร์ SolarWinds ในขณะนั้น Microsoft ได้ตั้งชื่อ Solarigate ให้กับกลุ่มแฮ็กเกอร์ แต่ต่อมาได้เปลี่ยนเป็น Nobelium บริษัทรักษาความปลอดภัยทางไซเบอร์ FireEye ติดตามกิจกรรมของกลุ่มภายใต้การกำหนด UNC2542

การ โจมตีของ SolarWinds

 การแฮ็กกับ SolarWinds ทำให้ Nobelium ปรับใช้มัลแวร์สี่สายพันธุ์ที่แตกต่างกัน ซึ่งช่วยให้พวกเขาจัดการกับการโจมตีห่วงโซ่อุปทาน อย่างแรก แฮกเกอร์ทิ้ง มัลแวร์ Sunspot บนเซิร์ฟเวอร์บิลด์ทันทีหลังจากเกิดการละเมิดเครือข่ายของ SolarWinds มัลแวร์สายพันธุ์นี้ได้รับการออกแบบโดยมีจุดประสงค์เฉพาะ เพื่อรอเซิร์ฟเวอร์บิลด์จนกว่าจะตรวจพบคำสั่งบิลด์ที่ประกอบหนึ่งในผลิตภัณฑ์หลักของ SolarWinds นั่นคือ Orion แพลตฟอร์มตรวจสอบทรัพยากรไอที ในขณะนั้นลูกค้ามากกว่า 33,000 คนกำลังใช้ Orion เมื่อ Sunspot ระบุสถานการณ์ที่เหมาะสมในการเปิดใช้งาน มันจะแทนที่ไฟล์ซอร์สโค้ดบางไฟล์อย่างลับๆ ด้วยไฟล์ที่เสียหาย ซึ่งมีหน้าที่รับผิดชอบในการโหลดเพย์โหลดขั้นต่อไป - มัลแวร์ Sunburst ด้วยเหตุนี้ Orion เวอร์ชันที่ ถูกโทรจันในขณะนี้จึงถูกแจกจ่ายไปยังลูกค้าของบริษัทที่ติดเชื้อเครือข่ายภายในของพวกเขาเมื่อดำเนินการ

 Sunburst ทำหน้าที่เป็นเครื่องมือสอดแนมที่รวบรวมข้อมูลจากระบบขององค์กรที่ถูกบุกรุกแล้วส่งต่อกลับไปยังแฮกเกอร์ ข้อมูลที่รวบรวมได้ถูกใช้โดย Nobelium เพื่อตัดสินใจว่าเหยื่อรายใดมีความสำคัญพอที่จะรับประกันว่าการโจมตีจะทวีความรุนแรงขึ้นหรือไม่ ผู้ที่ถือว่าคุ้มกับความเสี่ยงจะถูกโจมตีในระยะสุดท้ายของการโจมตี ซึ่งประกอบด้วยการใช้ แบ็คดอร์ Teardrop ที่ทรงพลังกว่า พร้อมกับส่ง Teardrop Sunburst ได้รับคำสั่งให้ลบตัวเองเพื่อลดรอยเท้าของผู้โจมตีในระบบที่ถูกบุกรุก สำหรับเหยื่อเพียงไม่กี่รายที่ได้รับการคัดเลือก แฮ็กเกอร์ส่งมัลแวร์ที่ทำหน้าที่สะท้อน Teardrop แต่มีความแตกต่างในโค้ดพื้นฐานอย่างมาก มัลแวร์ที่เรียกว่า Raindrop ทำให้นักวิจัยงงงวยเนื่องจากไม่สามารถระบุจุดเริ่มต้นได้ ต่างจาก Teardrop ที่มัลแวร์ Sunburst ในขั้นตอนก่อนหน้าทิ้งโดยตรง GoldMax

 นักวิจัยค้นพบมัลแวร์สายพันธุ์ใหม่ที่เกี่ยวข้องกับโนบีเลียม

 แฮกเกอร์ Nobelium ไม่ได้ทำให้กิจกรรมช้าลง ตามที่ Microsoft และบริษัทรักษาความปลอดภัย FireEye เปิดเผยซึ่งยังคงติดตามกลุ่มอยู่ นักวิจัยได้เห็นมัลแวร์ที่สร้างขึ้นเองหลายสายพันธ์ุที่ถูกเพิ่มเข้าไปในคลังแสงของอาชญากรไซเบอร์ ซึ่งรวมถึง: 

  • GoldMax /Sunshuttle Malware - ภัยคุกคามแบ็คดอร์ที่ซับซ้อน คุณสมบัติหลักของมันคือความสามารถในการผสมผสานการรับส่งข้อมูลที่เกิดจากการสื่อสารกับเซิร์ฟเวอร์ C2 โดยการเลือกผู้อ้างอิงจากรายการ URL ของเว็บไซต์ที่ถูกต้องซึ่งรวมถึง Google.com, Facebook.com, Yahoo.com และ Bing.com
  •  มัลแวร์ Sibot - หยดหยดขั้นที่สองที่ได้รับมอบหมายให้ทำงานอย่างต่อเนื่อง จากนั้นดึงและดำเนินการเพย์โหลดขั้นต่อไปจากเซิร์ฟเวอร์ C2 ไฟล์ VBScript ที่คุกคามจะใช้ชื่อคล้ายกับงาน Windows ที่ถูกต้อง จากนั้นจึงจัดเก็บไว้ใน Registry หรือในรูปแบบที่สับสนบนดิสก์ของระบบที่ละเมิด
  •  มัลแวร์ GoldFinder - มัลแวร์ที่มีความเชี่ยวชาญสูงซึ่งทำหน้าที่เป็นเครื่องมือติดตาม HTTP ภัยคุกคามจะระบุเส้นทางที่แน่นอนที่แพ็กเก็ตไปยังเซิร์ฟเวอร์ C2 GoldFinder สามารถแจ้งเตือนแฮ็กเกอร์ Nobelium เกี่ยวกับพร็อกซีเซิร์ฟเวอร์ HTTP หรือการเปลี่ยนเส้นทางอื่นๆ ที่เกิดจากอุปกรณ์รักษาความปลอดภัยเครือข่ายที่ปรับใช้โดยองค์กรที่ถูกบุกรุก

 Nobelium ยังคงเปิดตัวเครื่องมือที่ออกแบบขึ้นเป็นพิเศษเพื่อช่วยให้พวกเขาบรรลุเป้าหมายที่คุกคามได้ดีขึ้น แฮกเกอร์สามารถประนีประนอมกับลูกค้า SolarWinds กว่า 18,000 รายแล้ว ในบรรดาผู้ที่ตกเป็นเหยื่อคือบริษัทเทคโนโลยีที่มีชื่อเสียงและหน่วยงานรัฐบาลสหรัฐฯ