Nobelium APT

Nobelium APT说明

去年,Nobelium APT 成为网络间谍领域的主要参与者,当时这个以前不为人知的黑客组织对软件开发商 SolarWinds 进行了大规模的供应链攻击。当时,微软将名称 Solarigate 分配给了黑客集体,但后来将其更改为 Nobelium。网络安全公司 FireEye 以 UNC2542 名称跟踪该组织的活动。

SolarWinds攻击

 在针对 SolarWinds 的黑客攻击中,Nobelium 部署了四种不同的恶意软件,帮助他们策划了供应链攻击。首先,在SolarWinds 网络遭到破坏后,黑客立即在构建服务器上投放了Sunspot 恶意软件。该恶意软件株的设计目的单一——在构建服务器上等待,直到它检测到一个构建命令,该命令组装了 SolarWinds 的主要产品之一——IT 资源监控平台 Orion。当时有超过 33,000 名客户在使用 Orion。当 Sunspot 确定要激活的正确环境时,它会悄悄地用负责加载下一阶段有效载荷( Sunburst恶意软件)的损坏源代码文件替换某些源代码文件。结果,现在被木马化的Orion版本被分发给公司的客户,然后这些客户在执行它时感染了他们的内部网络。

 Sunburst 充当侦察工具,从受感染组织的系统收集数据,然后将其转发给黑客。随后,Nobelium 使用收集到的信息来确定特定受害者是否重要到足以保证攻击进一步升级。那些被认为值得冒险的人会受到攻击的最后阶段,其中包括部署更强大的Teardrop后门。在交付 Teardrop 的同时,Sunburst 被指示删除自身以减少攻击者在受感染系统上的足迹。在选定的少数受害者身上,黑客提供了一种恶意软件,它在功能上与 Teardrop 相似,但其底层代码却截然不同。这种名为Raindrop 的恶意软件威胁令研究人员感到困惑,因为他们无法确定其入口点,这与前阶段 Sunburst 恶意软件直接投放的 Teardrop 不同。金麦克斯

 研究人员发现新的与 Nobelium 相关的恶意软件菌株

 正如微软和仍在监控该组织的 FireEye 安全公司所透露的那样,Nobelium 黑客并没有放慢他们的活动。研究人员目睹了几种新的定制恶意软件菌株,这些菌株已被添加到网络犯罪分子的武器库中。这些包括: 

  • GoldMax /Sunshuttle 恶意软件 - 一种复杂的后门威胁。它的主要特点是能够通过从合法网站 URL 列表中选择引荐来源来混合由其与 C2 服务器通信引起的流量,这些 URL 包括 Google.com、Facebook.com、Yahoo.com 和 Bing.com。
  •  Sibot 恶意软件- 一个第二阶段的 dropper,其任务是实现持久性,然后从 C2 服务器获取和执行下一阶段的有效负载。其具有威胁性的 VBScript 文件采用类似于合法 Windows 任务的名称,然后存储在注册表中或以混淆格式存储在受破坏系统的磁盘上。
  •  GoldFinder 恶意软件- 作为 HTTP 跟踪工具的高度专业化的恶意软件。威胁绘制出数据包到达 C2 服务器的确切路径。然后,GoldFinder 可以提醒 Nobelium 黑客任何 HTTP 代理服务器或由受感染组织部署的网络安全设备引起的其他重定向。

 Nobelium 正在继续推出更多定制工具,以帮助他们更好地实现其具有威胁性的目标。黑客已经设法破坏了 SolarWinds 的 18,000 多个客户。受害者包括著名的科技公司和美国政府机构。