Nobelium APT

Nobelium APT Description

Nobelium APT đã trở thành một nhân tố quan trọng trong bối cảnh gián điệp mạng vào năm ngoái khi nhóm tin tặc chưa từng biết đến trước đây thực hiện một cuộc tấn công chuỗi cung ứng lớn nhằm vào nhà phát triển phần mềm SolarWinds. Vào thời điểm đó, Microsoft đã gán cái tên Solarigate cho tập thể hacker nhưng sau đó đổi thành Nobelium. Công ty an ninh mạng FireEye theo dõi hoạt động của nhóm dưới tên gọi UNC2542.

Cuộc tấn công SolarWinds

 Vụ hack chống lại SolarWinds, đã chứng kiến Nobelium triển khai bốn chủng phần mềm độc hại khác nhau giúp họ dàn xếp cuộc tấn công chuỗi cung ứng. Đầu tiên, các tin tặc đã thả phần mềm độc hại Sunspot vào một máy chủ xây dựng ngay sau khi xảy ra sự cố xâm phạm mạng của SolarWinds. Dòng phần mềm độc hại được thiết kế với một mục đích duy nhất - chờ đợi trên máy chủ xây dựng cho đến khi nó phát hiện ra lệnh xây dựng đã lắp ráp một trong những sản phẩm chính của SolarWinds - nền tảng giám sát tài nguyên CNTT Orion. Vào thời điểm đó, hơn 33.000 khách hàng đang sử dụng Orion. Khi Sunspot xác định được các trường hợp thích hợp để kích hoạt, nó sẽ lén lút thay thế một số tệp mã nguồn nhất định bằng các tệp bị hỏng chịu trách nhiệm tải trọng tải ở giai đoạn tiếp theo - phần mềm độc hại Sunburst. Do đó, phiên bản Orion hiện đã được trojan hóa đã được phân phối cho các khách hàng của công ty, những người sau đó đã lây nhiễm mạng nội bộ của họ khi thực hiện nó.

 Sunburst hoạt động như một công cụ do thám thu thập dữ liệu từ các hệ thống của tổ chức bị xâm nhập và sau đó chuyển nó trở lại cho tin tặc. Thông tin thu thập được sau đó được Nobelium sử dụng để quyết định xem nạn nhân cụ thể có đủ quan trọng để đảm bảo cuộc tấn công leo thang hơn nữa hay không. Những kẻ được cho là đáng để mạo hiểm sẽ phải trải qua giai đoạn cuối của cuộc tấn công bao gồm việc triển khai cửa hậu Teardrop mạnh mẽ hơn. Đồng thời với việc phân phối Teardrop, Sunburst được hướng dẫn xóa bản thân để giảm dấu vết của kẻ tấn công trên hệ thống bị xâm nhập. Trên một số nạn nhân được chọn, các tin tặc đã phát tán một chủng phần mềm độc hại sao chép Teardrop về mặt chức năng nhưng khác biệt đáng kể về mã cơ bản của nó. Được gọi là Raindrop , mối đe dọa phần mềm độc hại này khiến các nhà nghiên cứu bối rối vì họ không thể xác định điểm xâm nhập của nó, không giống như Teardrop đã bị phần mềm độc hại Sunburst giai đoạn trước đánh rơi trực tiếp. GoldMax

 Các nhà nghiên cứu khám phá ra các chủng phần mềm độc hại mới liên quan đến Nobelium

 Theo tiết lộ của Microsoft và công ty bảo mật FireEye, nhóm tin tặc Nobelium vẫn đang theo dõi nhóm này. Các nhà nghiên cứu đã chứng kiến một số chủng phần mềm độc hại tùy chỉnh mới đã được thêm vào kho vũ khí của tội phạm mạng. Bao gồm các: 

  • GoldMax / Sunshuttle Malware - một mối đe dọa tinh vi backdoor. Tính năng chính của nó là khả năng kết hợp lưu lượng truy cập do giao tiếp của nó với các máy chủ C2 bằng cách chọn các liên kết giới thiệu từ danh sách các URL trang web hợp pháp bao gồm các trang như Google.com, Facebook.com, Yahoo.com và Bing.com.
  •  Phần mềm độc hại Sibot - một công cụ nhỏ giọt giai đoạn hai có nhiệm vụ đạt được sự bền bỉ, sau đó tìm nạp và thực thi tải trọng giai đoạn tiếp theo từ các máy chủ C2. Tệp VBScript đe dọa của nó giả định một tên tương tự như một tác vụ Windows hợp pháp và sau đó được lưu trữ trong Sổ đăng ký hoặc ở định dạng khó hiểu trên đĩa của hệ thống bị vi phạm.
  •  Phần mềm độc hại GoldFinder - dòng phần mềm độc hại chuyên biệt cao hoạt động như một công cụ theo dõi HTTP. Mối đe dọa vạch ra lộ trình chính xác mà các gói tin trên đường đến các máy chủ C2. Sau đó, GoldFinder có thể cảnh báo tin tặc Nobelium về bất kỳ máy chủ proxy HTTP nào hoặc các chuyển hướng khác do các thiết bị an ninh mạng do tổ chức bị xâm phạm triển khai.

 Nobelium đang tiếp tục tung ra nhiều công cụ tùy chỉnh hơn để giúp họ đạt được mục tiêu đe dọa tốt hơn. Các tin tặc đã xâm nhập được hơn 18.000 khách hàng của SolarWinds. Trong số các nạn nhân có các công ty công nghệ nổi tiếng và các cơ quan chính phủ Hoa Kỳ.