Nobelium, le groupe à l'origine de l'attaque SolarWinds, dispose toujours d'un large arsenal de capacités de piratage avancées. C'est la conclusion des spécialistes de la sécurité de Mandiant dans une étude récente. Le danger de ces pirates - probablement soutenus par l'État - n'est pas encore écarté.
Il y a un an, les hackers de Nobelium ont réussi à pirater le spécialiste américain de la sécurité SolarWinds. Par la suite, de nombreux clients de ce spécialiste de la sécurité ont été piratés, environ 18,000 XNUMX, dont Microsoft mais aussi le gouvernement américain. Ceci avec toutes ses conséquences.
Une enquête plus approfondie sur les antécédents des pirates a révélé que les pirates Nobelium sont soupçonnés de recevoir de l'aide d'un pays. C'est probablement la Russie.
Nobelium est surtout connu pour ses tactiques, techniques et procédures avancées, également connues sous le nom de TTP. Au lieu d'attaquer leurs victimes une par une, ils préfèrent choisir une entreprise qui dessert plusieurs clients. Via un piratage de cette dernière société, les hackers recherchent une sorte de « passe-partout » qui « ouvre » simplement les portes aux clients.
Les recherches de Mandiant montrent que Nobelium et les deux groupes de hackers UNC3004 et UNC2652 qui font partie de ce conglomérat de hackers ont encore perfectionné leurs activités TTP. Surtout pour les attaques contre cloud fournisseurs et MSP pour atteindre encore plus d'entreprises.
Les nouvelles techniques des pirates sont l'utilisation d'informations d'identification obtenues grâce à des campagnes de logiciels malveillants voleurs d'informations d'autres pirates. Avec cela, les pirates de Nobelium ont cherché le premier accès aux victimes. Les pirates ont également utilisé des comptes avec des privilèges d'emprunt d'identité d'application pour "récolter" des données de messagerie sensibles. Les pirates ont également utilisé à la fois des services de proxy IP pour les consommateurs et une nouvelle infrastructure locale pour communiquer avec les victimes concernées.
Ils ont également utilisé de nouvelles fonctionnalités TTP pour contourner les restrictions de sécurité dans divers environnements, y compris les machines virtuelles, afin de déterminer les configurations de routage interne. Un autre outil utilisé était le nouveau téléchargeur CEELOADER. Les pirates ont même réussi à pénétrer dans les répertoires actifs des comptes Microsoft Azure et à voler des "clés principales" qui donnent accès aux répertoires des clients d'une partie concernée. Enfin, les pirates ont réussi à abuser de l'authentification multifacteur en utilisant les notifications push sur les smartphones.
Les chercheurs de Mandiant ont remarqué que les pirates s'intéressaient principalement aux données importantes pour la Russie. De plus, dans certains cas, des données ont été volées que les pirates ont dû donner de nouvelles entrées pour attaquer d'autres victimes.
Le rapport conclut que les attaques de Nobelium ne s'arrêteront pas de si tôt. Selon les chercheurs, les pirates continuent d'améliorer leurs techniques d'attaque et leurs compétences pour rester plus longtemps dans les réseaux des victimes, éviter la détection et contrecarrer les opérations de récupération.
Chaque jour qui passe rend les attaques de ransomware plus normales. Ils font des ravages et exigent une compensation monétaire…
Chaque jour qui passe rend les attaques de ransomware plus normales. Ils font des ravages et exigent une compensation monétaire…
Chaque jour qui passe rend les attaques de ransomware plus normales. Ils font des ravages et exigent une compensation monétaire…
De nombreuses personnes déclarent être confrontées à des problèmes avec un site Web appelé Typophes.xyz. Ce site Web incite les utilisateurs à…
De nombreuses personnes déclarent être confrontées à des problèmes avec un site Web appelé Sadre.co.in. Ce site Web incite les utilisateurs à…
En y regardant de plus près, Search.rainmealslow.live est plus qu'un simple outil de navigation. C'est en fait un navigateur…