Nobelium APT

Nobelium APT Açıklama

Nobelium APT, geçen yıl daha önce bilinmeyen hacker grubunun yazılım geliştirici SolarWinds'e karşı büyük bir tedarik zinciri saldırısı gerçekleştirmesiyle siber casusluk ortamında önemli bir oyuncu haline geldi. O sırada Microsoft, hacker kolektifine Solarigate adını atadı, ancak daha sonra Nobelium olarak değiştirdi. Siber güvenlik şirketi FireEye, grubun faaliyetlerini UNC2542 adı altında takip ediyor.

SolarWinds Saldırı

 SolarWinds'e yapılan saldırı, Nobelium'un tedarik zinciri saldırısını düzenlemelerine yardımcı olan dört farklı kötü amaçlı yazılım türünü dağıttığını gördü. İlk olarak, bilgisayar korsanları , SolarWinds ağının ihlali gerçekleştikten hemen sonra Sunspot kötü amaçlı yazılımını bir yapı sunucusuna bıraktı. Kötü amaçlı yazılım türü tek bir amaç için tasarlandı - SolarWinds'in ana ürünlerinden biri olan BT kaynakları izleme platformu Orion'u bir araya getiren bir derleme komutu algılayana kadar derleme sunucusunda beklemek. O zamanlar 33,000'den fazla müşteri Orion kullanıyordu. Sunspot, etkinleştirmek için doğru koşulları belirlediğinde, belirli kaynak kod dosyalarını gizlice bir sonraki aşamadaki yükün yüklenmesinden sorumlu olan bozuk dosyalarla değiştirir - Sunburst kötü amaçlı yazılımı. Sonuç olarak, Orion'un şu anda truva atı haline getirilmiş sürümü şirketin müşterilerine dağıtıldı ve bunlar daha sonra çalıştırıldıktan sonra iç ağlarına bulaştı.

 Sunburst, güvenliği ihlal edilen organizasyonun sistemlerinden veri toplayan ve daha sonra bilgisayar korsanlarına geri ileten bir keşif aracı olarak hareket etti. Toplanan bilgiler daha sonra Nobelium tarafından belirli kurbanın saldırının daha da tırmanmasını gerektirecek kadar önemli olup olmadığına karar vermek için kullanıldı. Riske değer görülenler, daha güçlü Teardrop arka kapısının konuşlandırılmasından oluşan saldırının son aşamasına tabi tutuldu. Teardrop'un teslim edilmesiyle eş zamanlı olarak, Sunburst'a saldırganın güvenliği ihlal edilmiş sistem üzerindeki ayak izini azaltmak için kendisini silme talimatı verildi. Bilgisayar korsanları, birkaç seçili kurbana, Teardrop'u işlevsel olarak yansıtan ancak temel kodunda önemli ölçüde farklılık gösteren bir kötü amaçlı yazılım türü gönderdi. Aranan Yağmur Damlası onların giriş noktası belirlemek olamazdı olarak, bu kötü amaçlı yazılım tehdidi önceki aşamalı Sunburst kötü amaçlı yazılım tarafından doğrudan bırakıldığı Teardrop aksine, araştırmacılar şaşkın. AltınMaks

 Araştırmacılar Nobelium İle İlgili Yeni Kötü Amaçlı Yazılım Türlerini Ortaya Çıkardı

 Microsoft ve hala grubu izleyen FireEye güvenlik şirketi tarafından açıklandığı gibi Nobelium bilgisayar korsanları faaliyetlerini yavaşlatmıyor. Araştırmacılar, siber suçluların cephaneliğine eklenen birkaç yeni özel yapım kötü amaçlı yazılım türüne tanık oldular. Bunlar şunları içerir: 

  • GoldMax /Sunshuttle Malware - sofistike bir arka kapı tehdidi. Başlıca özelliği, Google.com, Facebook.com, Yahoo.com ve Bing.com gibi meşru web sitesi URL'leri listesinden yönlendirenleri seçerek C2 sunucularıyla iletişiminden kaynaklanan trafiği harmanlayabilmesidir.
  •  Sibot Kötü Amaçlı Yazılım - kalıcılığı sağlamak ve ardından C2 sunucularından sonraki aşama yükünü almak ve yürütmekle görevli ikinci aşama bir damlalık. Tehdit edici VBScript dosyası, meşru bir Windows görevine benzer bir ad alır ve daha sonra Kayıt Defteri'nde veya ihlal edilen sistemin diskinde gizlenmiş bir biçimde saklanır.
  •  GoldFinder Kötü Amaçlı Yazılım - HTTP izleme aracı olarak işlev gören son derece uzmanlaşmış kötü amaçlı yazılım türü. Tehdit, paketlerin C2 sunucularına giderken izledikleri rotayı tam olarak belirler. GoldFinder daha sonra Nobelium bilgisayar korsanlarını herhangi bir HTTP proxy sunucusu veya güvenliği ihlal edilmiş kuruluş tarafından dağıtılan ağ güvenlik cihazlarının neden olduğu diğer yönlendirmeler konusunda uyarabilir.

 Nobelium, tehdit edici hedeflerine daha iyi ulaşmalarına yardımcı olan daha fazla özel yapım araçları serbest bırakmaya devam ediyor. Bilgisayar korsanları, SolarWinds'in 18.000'den fazla müşterisini tehlikeye atmayı başardı. Kurbanlar arasında önde gelen teknoloji şirketleri ve ABD devlet kurumları vardı.