Hackeri SolarWinds sa zameriavajú na vládne a podnikateľské subjekty po celom svete

Nobelium, aktér hrozby pripisovaný masívnemu kompromisu v dodávateľskom reťazci SolarWinds, bol opäť spojený so sériou útokov zameraných na viacerých poskytovateľov cloudových riešení, služieb a predajcov, keďže hackerská skupina neustále zdokonaľuje a prestavuje svoju taktiku na alarmujúcu situáciu. v reakcii na zverejnenie informácií.

Vniknutia, ktoré Mandiant sleduje v rámci dvoch rôznych skupín aktivít UNC3004 a UNC2652, sú obe spojené s UNC2452, nekategorizovanou skupinou hrozieb, ktorá je odvtedy prepojená s ruskou spravodajskou službou. Najmä UNC2652 bolo pozorované, ako sa zameriava na diplomatické subjekty pomocou phishingových e-mailov obsahujúcich prílohy HTML so škodlivým kódom JavaScript, čo v konečnom dôsledku na infikované zariadenia umiestnilo Cobalt Strike Beacon.

“Vo väčšine prípadov aktivity po kompromise zahŕňali krádež údajov relevantných pre ruské záujmy,” uviedli v novej správe výskumníci Mandiant Luke Jenkins, Sarah Hawley, Parnian Najafi a Doug Bienstock. “V niektorých prípadoch sa zdá, že krádež údajov bola získaná predovšetkým na vytvorenie nových ciest na prístup k iným prostrediam obetí.”

Odhalenia prichádzajú presne rok po tom, čo sa objavili podrobnosti o hackerskej kampani podporovanej Kremľom, ktorá prelomila servery poskytovateľa správy siete SolarWinds s cieľom distribuovať pokazené softvérové ​​binárne súbory množstvu významných zákazníkov vrátane deviatich amerických federálnych agentúr.

Ak vôbec niečo, tento vývoj je ďalším dôkazom schopnosti aktéra hrozby neustále „inovovať a identifikovať nové techniky a remeselnú činnosť na udržanie trvalého prístupu k prostrediam obetí, brániť odhaľovaniu a zmiasť snahy o pripisovanie“, pričom zároveň zdôrazňuje „účinnosť využívania tretích strany a vzťahy s dôveryhodnými dodávateľmi na vykonávanie hanebných operácií.”

Microsoft predtým nazval Nobelium ako „šikovných a metodických operátorov, ktorí dodržiavajú osvedčené postupy zabezpečenia operácií (OpSec).

Odkedy sa objavil incident SolarWinds, skupina APT bola napojená na sériu útokov zameraných na think-tanky, podniky a vládne subjekty po celom svete, a to aj napriek tomu, že sa na tento cieľ použila neustále sa rozširujúca súprava malvérových nástrojov. vytvoriť oporu v napadnutom systéme a stiahnuť ďalšie škodlivé komponenty.

Koncom októbra 2021 spoločnosť Microsoft ukončila kampaň proti prieniku, ktorá ohrozila až 14 následných zákazníkov viacerých poskytovateľov cloudových služieb (CSP), poskytovateľov spravovaných služieb (MSP) a ďalších organizácií poskytujúcich IT služby. Otravné útoky fungovali tak, že sa vlámali do poskytovateľov služieb a následne použili privilegovaný prístup a poverenia patriace týmto poskytovateľom na zasiahnutie širokého spektra organizácií, ktoré sa spoliehali na CSP.

Špičkové prevádzkové zabezpečenie a vyspelé remeslo

Niektoré z ďalších techník, ktoré skupina začlenila do svojej príručky, zahŕňajú použitie poverení potenciálne získaných z kampane o zlodeji informácií, ktorú organizoval aktér tretej strany, s cieľom získať počiatočný prístup k organizáciám, sekvencia útokov, ktorá vyústila do pracovných staníc obetí. infikovaných malvérom CryptBot po prehliadaní webových stránok s nízkou reputáciou ponúkajúcich cracknutý softvér, čo potvrdzuje podobnú správu od Red Canary zverejnenú minulý týždeň.

Nobelium používa aj nový nástroj s názvom Ceeloader, zákazkový downloader, ktorý je navrhnutý na dešifrovanie užitočného obsahu shell kódu, ktorý sa má spustiť v pamäti na napadnutom systéme, ako aj na zneužitie push notifikácií na smartphones na obchádzanie ochrany viacfaktorovej autentifikácie (MFA).

„V týchto prípadoch mal aktér hrozby platnú kombináciu používateľského mena a hesla,“ povedal výskumník. “Mnohí poskytovatelia MFA umožňujú užívateľom akceptovať push notifikáciu telefónnej aplikácie alebo prijať telefonický hovor a stlačiť kláves ako druhý faktor. Ohrozujúci aktér to využil a odoslal niekoľko MFA žiadostí na legitímne zariadenie koncového užívateľa, kým užívateľ akceptoval autentifikáciu, čo umožnilo aktérovi hrozby nakoniec získať prístup k účtu.”

Medzi ďalšie dôležité taktiky patrí —

  • Kompromitovanie viacerých účtov v rámci prostredia a používanie každého z týchto účtov na iné funkcie na obmedzenie vystavenia,
  • Použitie kombinácie Tor, virtuálnych privátnych serverov (VPS) a verejných virtuálnych privátnych sietí (VPN) na prístup k prostrediam obetí,
  • Hostenie užitočných dát druhej fázy ako zašifrovaných guľôčok na legitímnych webových stránkach so systémom WordPress a
  • Použitie rezidenčných rozsahov IP adries na autentifikáciu v prostredí obetí.

“Táto aktivita vniknutia odráža dobre zabezpečenú skupinu aktérov hrozieb, ktorí pracujú s vysokým stupňom záujmu o prevádzkovú bezpečnosť,” uviedli vedci. “Zneužitie tretej strany, v tomto prípade CSP, môže uľahčiť prístup k širokému okruhu potenciálnych obetí prostredníctvom jediného kompromisu.”