SolarWinds чабуулунун артында турган Nobelium тобу дагы эле анын карамагында өнүккөн хакердик мүмкүнчүлүктөрдүн чоң арсеналына ээ. Мандианттын коопсуздук боюнча адистери жакында жүргүзгөн изилдөөсүндө ушундай тыянакка келишкен. Бул, балким, мамлекет тарабынан колдоого алынган хакерлердин коркунучу али өтө элек.
Бир жыл мурун Nobelium хакерлери америкалык SolarWinds коопсуздук боюнча адисти бузуп алышкан. Кийинчерээк бул коопсуздук боюнча адистин көптөгөн кардарлары хакердик чабуулга кабылган, алардын 18,000 XNUMXге жакыны, анын ичинде Microsoft жана АКШ өкмөтү. Бул анын бардык кесепеттери менен.
Хакерлердин тек-жайын андан ары иликтөө Нобелиум хакерлеринин кайсы бир өлкөдөн жардам алган деп шектелгенин аныктады. Бул, балким, Россия.
Нобелиум TTP катары да белгилүү болгон өнүккөн тактикалары, ыкмалары жана процедуралары менен белгилүү. Курмандыктарына бирден чабуул койгондун ордуна, алар бир нече кардарларды тейлеген бир компанияны тандап алууну артык көрүшөт. Акыркы компанияны бузуп, хакерлер кардарларга эшиктерди жөн эле "ачуучу" кандайдыр бир "башкы ачкычты" издешет.
Research Mandiant
Мандианттын изилдөөлөрү көрсөткөндөй, Nobelium жана бул хакердик конгломераттын бир бөлүгү болгон UNC3004 жана UNC2652 эки хакерлер тобу өздөрүнүн TTP иш-аракеттерин андан ары өркүндөтүшкөн. Өзгөчө чабуулдар үчүн cloud сатуучулар жана MSP дагы көбүрөөк ишканаларга жетүү үчүн.
Хакерлердин жаңы ыкмалары башка хакерлердин маалымат-уурдоочу зыяндуу кампаниялары аркылуу алынган эсептик дайындарды колдонуу. Муну менен Nobelium хакерлери жабырлануучуларга биринчи жолу кирүүгө аракет кылышкан. Хакерлер ошондой эле электрондук почтанын купуя маалыматтарын "жыйноо" үчүн Колдонмонун Имперсонация артыкчылыктары бар аккаунттарды колдонушкан. Хакерлер ошондой эле керектөөчүлөр үчүн IP прокси кызматтарын жана жапа чеккендер менен байланышуу үчүн жаңы жергиликтүү инфраструктураны колдонушкан.
Башка ыкмалар
Алар ошондой эле ички маршруттук конфигурацияларды аныктоо үчүн ар кандай чөйрөлөрдө, анын ичинде виртуалдык машиналарда коопсуздук чектөөлөрүн айланып өтүү үчүн жаңы TTP мүмкүнчүлүктөрүн колдонушкан. Колдонулган дагы бир курал жаңы CEELOADER жүктөөчү болду. Хакерлер атүгүл Microsoft Azure аккаунттарынын активдүү каталогдорунан кирип, жабыр тарткан тараптын кардарларынын каталогуна кирүү мүмкүнчүлүгүн берген “башкы ачкычтарды” уурдап кетүүгө үлгүрүшкөн. Акыры, хакерлер смартфондордогу push-билдирүүлөрдү колдонуу менен көп факторлуу аутентификацияны кыянаттык менен колдонууга жетишкен.
Mandiant изилдөөчүлөрү хакерлер негизинен Орусия үчүн маанилүү болгон маалыматтарга кызыкдар экенин байкашкан. Мындан тышкары, кээ бир учурларда хакерлер башка жабырлануучуларга кол салуу үчүн жаңы кире бериши керек болгон маалыматтар уурдалган.
Нобелий туруктуу көйгөй
Доклад Нобелийдин чабуулдары жакын арада токтобойт деген тыянакка келет. Окумуштуулардын айтымында, хакерлер жабырлануучулардын түйүндөрүндө көбүрөөк калуу, аныктоодон качуу жана калыбына келтирүү операцияларын үзгүлтүккө учуратуу үчүн чабуул ыкмаларын жана көндүмдөрүн өркүндөтүүнү улантууда.