Nobelium, gruppen bag SolarWinds-angrebet, har stadig et stort arsenal af avancerede hacking-funktioner til sin rådighed. Sådan lyder konklusionen fra Mandiants sikkerhedsspecialister i en nylig undersøgelse. Faren for disse -sandsynligvis statsstøttede- hackere er endnu ikke forbi.
For et år siden lykkedes det Nobelium-hackerne at hacke sig ind på den amerikanske sikkerhedsspecialist SolarWinds. Efterfølgende blev mange kunder hos denne sikkerhedsspecialist hacket, omkring 18,000, inklusive Microsoft og også den amerikanske regering. Dette med alle dets konsekvenser.
Yderligere undersøgelser af hackernes baggrund afslørede, at Nobelium-hackerne er mistænkt for at modtage bistand fra et land. Dette er sandsynligvis Rusland.
Nobelium er bedst kendt for sine avancerede taktikker, teknikker og procedurer, også kendt som TTP. I stedet for at angribe deres ofre én efter én, foretrækker de at vælge én virksomhed, der betjener flere kunder. Via et hack på sidstnævnte firma leder hackerne efter en slags 'master key', der så blot 'åbner' dørene for kunderne.
Mandiants forskning viser, at Nobelium og de to hackergrupper UNC3004 og UNC2652, der er en del af dette hackingkonglomerat, har perfektioneret deres TTP-aktiviteter yderligere. Især for angreb på cloud leverandører og MSP'er for at nå ud til endnu flere virksomheder.
Nye teknikker for hackerne er brugen af legitimationsoplysninger, der er opnået gennem andre hackers malware-kampagner, der stjæler info. Hermed søgte Nobelium-hackerne den første adgang til ofrene. Hackerne brugte også konti med Application Impersonation-privilegier til at "høste" følsomme e-mail-data. Hackerne brugte også både IP-proxytjenester til forbrugere og ny lokal infrastruktur til at kommunikere med berørte ofre.
De brugte også nye TTP-funktioner til at omgå sikkerhedsrestriktioner i forskellige miljøer, herunder virtuelle maskiner, til at bestemme interne routing-konfigurationer. Et andet værktøj, der blev brugt, var den nye CEELOADER-downloader. Hackerne formåede endda at trænge ind i aktive mapper på Microsoft Azure-konti og stjæle 'masternøgler', der giver adgang til mapper for kunder hos en berørt part. Endelig lykkedes det hackerne at misbruge multi-faktor-autentificering ved hjælp af push-beskeder på smartphones.
Mandiant-forskerne bemærkede, at hackerne hovedsageligt var interesserede i data, der var vigtige for Rusland. Derudover blev der i nogle tilfælde stjålet data, som hackerne måtte give nye indgange for at angribe andre ofre.
Rapporten konkluderer, at Nobeliums angreb ikke vil stoppe foreløbigt. Ifølge forskerne fortsætter hackerne med at forbedre deres angrebsteknikker og færdigheder for at blive længere inden for ofrenes netværk, undgå opdagelse og frustrere gendannelsesoperationer.
Hver dag, der går, gør ransomware-angreb mere normale. De skaber kaos og kræver en monetær...
Hver dag, der går, gør ransomware-angreb mere normale. De skaber kaos og kræver en monetær...
Hver dag, der går, gør ransomware-angreb mere normale. De skaber kaos og kræver en monetær...
Mange enkeltpersoner rapporterer, at de står over for problemer med et websted kaldet Tylophes.xyz. Denne hjemmeside narrer brugere til at...
Mange enkeltpersoner rapporterer, at de står over for problemer med et websted kaldet Sadre.co.in. Denne hjemmeside narrer brugere til at...
Ved nærmere eftersyn er Search.rainmealslow.live mere end blot et browserværktøj. Det er faktisk en browser...