Nobelium APT

Nobelium APT說明

去年,Nobelium APT 成為網絡間諜領域的主要參與者,當時這個以前不為人知的黑客組織對軟件開發商 SolarWinds 進行了大規模的供應鏈攻擊。當時,微軟將名稱 Solarigate 分配給了黑客集體,但後來將其更改為 Nobelium。網絡安全公司 FireEye 以 UNC2542 名稱跟踪該組織的活動。

SolarWinds攻擊

 在針對 SolarWinds 的黑客攻擊中,Nobelium 部署了四種不同的惡意軟件,幫助他們策劃了供應鏈攻擊。首先,在SolarWinds 網絡遭到破壞後,黑客立即在構建服務器上投放了Sunspot 惡意軟件。該惡意軟件株的設計目的單一——在構建服務器上等待,直到它檢測到一個構建命令,該命令組裝了 SolarWinds 的主要產品之一——IT 資源監控平台 Orion。當時有超過 33,000 名客戶在使用 Orion。當 Sunspot 確定要激活的正確環境時,它會悄悄地用負責加載下一階段有效載荷( Sunburst惡意軟件)的損壞源代碼文件替換某些源代碼文件。結果,現在被木馬化的Orion版本被分發給公司的客戶,然後這些客戶在執行它時感染了他們的內部網絡。

 Sunburst 充當偵察工具,從受感染組織的系統收集數據,然後將其轉發給黑客。隨後,Nobelium 使用收集到的信息來確定特定受害者是否重要到足以保證攻擊進一步升級。那些被認為值得冒險的人會受到攻擊的最後階段,其中包括部署更強大的Teardrop後門。在交付 Teardrop 的同時,Sunburst 被指示刪除自身以減少攻擊者在受感染系統上的足跡。在選定的少數受害者身上,黑客提供了一種惡意軟件,它在功能上與 Teardrop 相似,但其底層代碼卻大不相同。這種名為Raindrop 的惡意軟件威脅令研究人員感到困惑,因為他們無法確定其入口點,這與前階段 Sunburst 惡意軟件直接投放的 Teardrop 不同。金麥克斯

 研究人員發現新的與 Nobelium 相關的惡意軟件菌株

 正如微軟和仍在監控該組織的 FireEye 安全公司所透露的那樣,Nobelium 黑客並沒有放慢他們的活動。研究人員目睹了幾種新的定制惡意軟件菌株,這些菌株已被添加到網絡犯罪分子的武器庫中。這些包括: 

  • GoldMax /Sunshuttle 惡意軟件 - 一種複雜的後門威脅。它的主要特點是能夠通過從合法網站 URL 列表中選擇引薦來源來混合由其與 C2 服務器通信引起的流量,這些 URL 包括 Google.com、Facebook.com、Yahoo.com 和 Bing.com。
  •  Sibot 惡意軟件- 一個第二階段的 dropper,其任務是實現持久性,然後從 C2 服務器獲取和執行下一階段的有效負載。其具有威脅性的 VBScript 文件採用類似於合法 Windows 任務的名稱,然後存儲在註冊表中或以混淆格式存儲在受破壞系統的磁盤上。
  •  GoldFinder 惡意軟件- 作為 HTTP 跟踪工具的高度專業化的惡意軟件。威脅繪製出數據包到達 C2 服務器的確切路徑。然後,GoldFinder 可以提醒 Nobelium 黑客任何 HTTP 代理服務器或由受感染組織部署的網絡安全設備引起的其他重定向。

 Nobelium 正在繼續推出更多定制工具,以幫助他們更好地實現其具有威脅性的目標。黑客已經設法破壞了 SolarWinds 的 18,000 多個客戶。受害者包括著名的科技公司和美國政府機構。