Hackeri SolarWinds sa zameriavajú na think-tanky s novým zadným vrátkom „NativeZone“.

Microsoft vo štvrtok zverejnil, že aktér hrozieb stojaci za hackom dodávateľského reťazca SolarWinds sa vrátil do prostredia hrozieb, aby sa zameral na vládne agentúry, think-tanky, konzultantov a mimovládne organizácie v 24 krajinách vrátane USA.

Niektoré zo subjektov, ktoré boli vybrané, zahŕňajú Atlantickú radu USA, Organizáciu pre bezpečnosť a spoluprácu v Európe (OBSE), Ukrajinské protikorupčné akčné centrum (ANTAC), EU DisinfoLab a vládne oddelenie Írska Zahraničné styky.

„Táto vlna útokov bola zameraná približne 3000 e-mailových účtov vo viac ako 150 rôznych organizáciách,” povedal Tom Burt, viceprezident spoločnosti Microsoft pre bezpečnosť a dôveru zákazníkov. „Najmenej štvrtina cieľových organizácií sa podieľala na medzinárodnom rozvoji, humanitárnej činnosti a práci v oblasti ľudských práv.”

Microsoft pripísal prebiehajúce prieniky ruskému aktérovi hrozieb, ktorého sleduje ako Nobelium, a širšej komunite kybernetickej bezpečnosti pod menami APT29, UNC2452 (FireEye), SolarStorm (jednotka 42), StellarParticle (Crowdstrike), Dark Halo (Volexity) a Iron. Rituál (Secureworks).

Najnovšia vlna zo série prienikov sa údajne začala 28. januára 2021 a 25. mája dosiahla novú úroveň eskalácie. Útoky využili legitímnu službu hromadného zasielania správ s názvom Konštantný kontakt, aby zakryla svoju zákernú činnosť a maskovanie ako USAID, rozvojová organizácia so sídlom v USA, pre rozsiahlu phishingovú kampaň, ktorá distribuovala phishingové e-maily rôznym organizáciám a priemyselným vertikálam.

“Nobelium spustilo tento týždeň útoky tým, že získalo prístup k kontu Constant Contact USAID,” povedal Burt.

Tieto zdanlivo autentické e-maily obsahovali odkaz, ktorý po kliknutí doručil škodlivý obrazový súbor optického disku (“ICA-declass.iso”) na vloženie vlastného implantátu Cobalt Strike Beacon s názvom NativeZone (“Documents.dll”). Zadné vrátka, podobne ako predchádzajúci vlastný malvér, ako sú Raindrop a Teardrop, sú vybavené schopnosťami na udržanie trvalého prístupu, vykonávanie bočného pohybu, exfiltráciu údajov a inštaláciu ďalšieho škodlivého softvéru.

V ďalšej variácii cielených útokov zistených pred aprílom Nobelium experimentovalo s profilovaním cieľového stroja po tom, čo príjemca e-mailu klikol na odkaz. V prípade, že sa ukázalo, že základný operačný systém je iOS, obeť bola presmerovaná na druhý vzdialený server, aby odoslal exploit pre vtedy zero-day CVE-2021-1879. Apple riešil chybu 26. marca, pričom uznal, že „tento problém mohol byť aktívne využívaný“.

Firmy zaoberajúce sa kybernetickou bezpečnosťou Secureworks a Volexity, ktoré potvrdili zistenia, uviedli, že kampaň si vybrala mimovládne organizácie, výskumné inštitúcie, vládne subjekty a medzinárodné agentúry so sídlom v USA, na Ukrajine a v Európskej únii.

“Veľmi úzky a špecifický súbor e-mailových identifikátorov a organizácií, ktoré pozorovali výskumníci z CTU, silne naznačuje, že kampaň je zameraná na americké a európske diplomatické a politické misie, ktoré by boli zaujímavé pre zahraničné spravodajské služby,” poznamenali výskumníci z Secureworks Counter Threat Unit.

Najnovšie útoky pridávajú dôkazy o opakujúcom sa modeli aktéra hrozby, ktorý používa jedinečnú infraštruktúru a nástroje pre každý cieľ, čím poskytujú útočníkom vysokú úroveň utajenia a umožňujú im zostať dlhší čas neodhalení.

Neustále sa vyvíjajúca povaha obchodu Nobelium je tiež pravdepodobne priamou reakciou na veľmi medializovaný incident SolarWinds, čo naznačuje, že útočníci by mohli ďalej experimentovať so svojimi metódami, aby dosiahli svoje ciele.

„V spojení s útokom na SolarWinds je jasné, že súčasťou príručky Nobelium je získať prístup k dôveryhodným poskytovateľom technológií a infikovať ich zákazníkov,“ povedal Burt. “Pripojením aktualizácií softvéru a teraz masových poskytovateľov e-mailov Nobelium zvyšuje šance na vedľajšie škody pri špionážnych operáciách a podkopáva dôveru v technologický ekosystém.”