Nobelium APT

Nobelium APT Paglalarawan

Ang Nobelium APT ay naging pangunahing manlalaro sa cyber-espionage landscape noong nakaraang taon nang ang dating hindi kilalang grupo ng hacker ay nagsagawa ng napakalaking supply-chain attack laban sa software developer na SolarWinds. Noong panahong iyon, itinalaga ng Microsoft ang pangalang Solarigate sa kolektibong hacker ngunit kalaunan ay binago ito sa Nobelium. Sinusubaybayan ng kumpanya ng cybersecurity na FireEye ang aktibidad ng grupo sa ilalim ng pagtatalaga ng UNC2542.

Ang SolarWinds Attack

 Ang pag-hack laban sa SolarWinds, ay nakakita ng Nobelium na nag-deploy ng apat na magkakaibang strain ng malware na tumulong sa kanila na ayusin ang pag-atake ng supply-chain. Una, ibinaba ng mga hacker ang Sunspot malware sa isang build server kaagad pagkatapos maganap ang paglabag sa network ng SolarWinds. Ang malware strain ay idinisenyo na may iisang layunin - upang maghintay sa build server hanggang sa makakita ito ng build command na nag-assemble ng isa sa mga pangunahing produkto ng SolarWinds - ang IT resources monitoring platform Orion. Noong panahong iyon, mahigit 33,000 customer ang gumagamit ng Orion. Kapag natukoy ng Sunspot ang mga tamang pangyayari para ma-activate, palihim nitong papalitan ang ilang partikular na source code ng mga sira na responsable sa pag-load sa susunod na yugto ng payload - ang Sunburst malware. Bilang resulta, ang na-trojanized na bersyon ng Orion ay ipinamahagi sa mga kliyente ng kumpanya na pagkatapos ay nahawahan ang kanilang mga panloob na network sa pagpapatupad nito.

 Nagsilbing reconnaissance tool ang Sunburst na nangongolekta ng data mula sa mga system ng nakompromisong organisasyon at pagkatapos ay ibinalik ito sa mga hacker. Ang nakalap na impormasyon noon ay ginamit ng Nobelium upang magpasya kung ang partikular na biktima ay sapat na mahalaga upang magarantiyahan ang higit pang pagtaas ng pag-atake. Ang mga itinuring na nagkakahalaga ng panganib ay sumailalim sa huling yugto ng pag-atake na binubuo ng pag-deploy ng mas malakas na Teardrop backdoor. Kasabay ng paghahatid ng Teardrop, inutusan ang Sunburst na tanggalin ang sarili nito upang mabawasan ang bakas ng paa ng umaatake sa nakompromisong system. Sa ilang piling biktima, ang mga hacker ay naghatid ng malware strain na sumasalamin sa Teardrop sa functionally ngunit naiiba sa pinagbabatayang code nito. Tinatawag na Raindrop , ang banta ng malware na ito ay nagpagulo sa mga mananaliksik dahil hindi nila matukoy ang entry point nito, hindi tulad ng Teardrop na direktang ibinagsak ng naunang yugto ng Sunburst malware. GoldMax

 Natuklasan ng mga Mananaliksik ang Bagong Mga Strain ng Malware na Kaugnay ng Nobelium

 Ang mga hacker ng Nobelium ay hindi nagpapabagal sa kanilang mga aktibidad, tulad ng ipinahayag ng Microsoft at ng kumpanya ng seguridad ng FireEye na patuloy na sinusubaybayan ang grupo. Nasaksihan ng mga mananaliksik ang ilang bagong custom-build na mga strain ng malware na idinagdag sa arsenal ng mga cybercriminal. Kabilang dito ang: 

  • GoldMax /Sunshuttle Malware - isang sopistikadong banta sa backdoor. Ang pangunahing tampok nito ay ang kakayahang pagsamahin ang trapiko na dulot ng komunikasyon nito sa mga C2 server sa pamamagitan ng pagpili ng mga referrer mula sa isang listahan ng mga lehitimong URL ng website na kinabibilangan ng mga tulad ng Google.com, Facebook.com, Yahoo.com at Bing.com.
  •  Ang Sibot Malware - isang pangalawang yugto na dropper na may tungkuling makamit ang pagtitiyaga at pagkatapos ay kunin at isagawa ang susunod na yugto ng payload mula sa mga C2 server. Ang nagbabantang VBScript file nito ay nagpapalagay ng isang pangalan na katulad ng isang lehitimong gawain sa Windows at pagkatapos ay iniimbak sa alinman sa Registry o sa isang obfuscated na format sa disk ng nalabag na sistema.
  •  Ang GoldFinder Malware - lubos na espesyalisadong malware strain na gumaganap bilang isang HTTP tracer tool. Ipinapalabas ng banta ang eksaktong ruta na dinadala ng mga packet patungo sa mga C2 server. Maaaring alertuhan ng GoldFinder ang mga hacker ng Nobelium ng anumang HTTP proxy server o iba pang mga pag-redirect na dulot ng mga network security device na na-deploy ng nakompromisong organisasyon.

 Ang Nobelium ay patuloy na nagpapalabas ng higit pang custom-made na mga tool na makakatulong sa kanilang mas mahusay na makamit ang kanilang mga nagbabantang layunin. Nagawa na ng mga hacker na ikompromiso ang mahigit 18,000 na customer ng SolarWinds. Kabilang sa mga biktima ang mga kilalang kumpanya ng teknolohiya at mga ahensya ng gobyerno ng US.