SolarWinds 공격의 배후에 있는 그룹인 Nobelium은 여전히 사용할 수 있는 고급 해킹 기능을 많이 보유하고 있습니다. 이것은 최근 연구에서 Mandiant의 보안 전문가가 내린 결론입니다. 이러한 -아마도 국가 지원을 받는 - 해커의 위험은 아직 사라지지 않았습니다.
18,000년 전, Nobelium 해커는 미국 보안 전문가인 SolarWinds를 해킹하는 데 성공했습니다. 그 후, 이 보안 전문가의 많은 고객, 약 XNUMX Microsoft 및 또한 미국 정부를 포함하여 해킹되었습니다. 이것은 모든 결과를 수반합니다.
해커의 배경에 대한 추가 조사는 노벨리움 해커가 국가로부터 원조를 받은 것으로 의심되는 것으로 밝혀졌습니다. 이것은 아마도 러시아입니다.
노벨륨은 TTP라고도 알려진 고급 전술, 기술 및 절차로 가장 잘 알려져 있습니다. 피해자를 하나씩 공격하는 대신 여러 고객에게 서비스를 제공하는 하나의 회사를 선택하는 것을 선호합니다. 후자의 회사에 대한 해킹을 통해 해커는 일종의 '마스터 키'를 찾은 다음 단순히 고객에게 문을 '열립니다'.
리서치 맨디언트
Mandiant의 연구에 따르면 Nobelium과 이 해킹 대기업의 일부인 두 해커 그룹 UNC3004 및 UNC2652가 TTP 활동을 더욱 완벽하게 했습니다. 특히 에 대한 공격의 경우 cloud 공급업체 및 MSP를 통해 더 많은 비즈니스에 도달할 수 있습니다.
해커의 새로운 기술은 다른 해커의 정보 스틸러 멀웨어 캠페인을 통해 얻은 자격 증명을 사용하는 것입니다. 이를 통해 노벨리움 해커들은 희생자들에게 가장 먼저 접근할 수 있는 방안을 모색했다. 또한 해커는 애플리케이션 가장 권한이 있는 계정을 사용하여 민감한 이메일 데이터를 "수집"했습니다. 해커는 또한 소비자를 위한 IP 프록시 서비스와 새로운 로컬 인프라를 모두 사용하여 영향을 받는 피해자와 통신했습니다.
기타 기술
또한 가상 머신을 포함한 다양한 환경에서 보안 제한을 우회하기 위해 새로운 TTP 기능을 사용하여 내부 라우팅 구성을 결정했습니다. 사용된 또 다른 도구는 새로운 CEELOADER 다운로더였습니다. 해커는 Microsoft Azure 계정의 활성 디렉터리에 침투하여 영향을 받는 당사자의 고객 디렉터리에 액세스할 수 있는 '마스터 키'를 훔치기까지 했습니다. 마지막으로 해커는 스마트폰의 푸시 알림을 사용하여 다단계 인증을 악용했습니다.
Mandiant 연구원들은 해커들이 주로 러시아에 중요한 데이터에 관심이 있다는 것을 알아냈습니다. 또한 해커가 다른 피해자를 공격하기 위해 새로운 입구를 제공해야 하는 데이터가 도난당한 경우도 있습니다.
노벨륨 지속 문제
보고서는 노벨륨의 공격이 조만간 멈추지 않을 것이라고 결론지었다. 연구원에 따르면 해커는 공격 기술과 기술을 계속 개선하여 피해자의 네트워크에 더 오래 머물고 탐지를 피하며 복구 작업을 방해합니다.