SolarWinds攻撃の背後にあるグループであるノーベリウムは、高度なハッキング機能を自由に利用できる豊富な武器をまだ持っています。 これは、最近の調査におけるMandiantのセキュリティスペシャリストの結論です。 これらの-おそらく国家に支援された-ハッカーの危険性はまだ過ぎていません。
18,000年前、NobeliumハッカーはアメリカのセキュリティスペシャリストであるSolarWindsをハッキングすることに成功しました。 その後、このセキュリティスペシャリストの多くの顧客がハッキングされ、マイクロソフトや米国政府を含む約XNUMX人がハッキングされました。 これとそのすべての結果。
ハッカーの背景をさらに調査したところ、Nobeliumハッカーは国から援助を受けている疑いがあることが明らかになりました。 これはおそらくロシアです。
ノーベリウムは、TTPとしても知られる高度な戦術、技術、手順で最もよく知られています。 被害者をXNUMX人ずつ攻撃するのではなく、複数の顧客にサービスを提供するXNUMXつの会社を選ぶことを好みます。 後者の会社をハッキングすることで、ハッカーは一種の「マスターキー」を探し、それが単に顧客への扉を「開く」のです。
リサーチマンディアント
Mandiantの調査によると、ノーベリウムと、このハッキングコングロマリットの一部である3004つのハッカーグループUNC2652とUNCXNUMXは、TTP活動をさらに完成させました。 特に攻撃の場合 cloud ベンダーとMSPは、さらに多くの企業にリーチします。
ハッカーの新しい手法は、他のハッカーの情報を盗むマルウェアキャンペーンを通じて取得した資格情報を使用することです。 これにより、Nobeliumハッカーは犠牲者への最初のアクセスを求めました。 ハッカーはまた、アプリケーションのなりすまし権限を持つアカウントを使用して、機密性の高い電子メールデータを「収集」しました。 ハッカーはまた、影響を受ける被害者と通信するために、消費者向けのIPプロキシサービスと新しいローカルインフラストラクチャの両方を使用しました。
その他のテクニック
また、仮想マシンを含むさまざまな環境でセキュリティ制限を回避するための新しいTTP機能を使用して、内部ルーティング構成を決定しました。 使用された別のツールは、新しいCEELOADERダウンローダーでした。 ハッカーは、Microsoft Azureアカウントのアクティブなディレクトリに侵入し、影響を受ける当事者の顧客のディレクトリへのアクセスを許可する「マスターキー」を盗むことさえできました。 最後に、ハッカーはスマートフォンのプッシュ通知を使用して多要素認証を悪用することに成功しました。
Mandiantの研究者は、ハッカーが主にロシアにとって重要なデータに関心を持っていることに気づきました。 さらに、場合によっては、ハッカーが他の被害者を攻撃するために新しい入り口を提供しなければならないというデータが盗まれました。
ノーベリウム持続性問題
報告書は、ノーベリウムの攻撃はすぐには止まらないと結論付けています。 研究者によると、ハッカーは攻撃のテクニックとスキルを改善し続け、被害者のネットワーク内に長く留まり、検出を回避し、回復操作を妨害します。